「Safari Carpet Bomb」問題、MSが危険性を警告 52
ストーリー by Acanthopanax
あわせ技 部門より
あわせ技 部門より
hylom 曰く、
先日、Safariに「ユーザーの許可なく不正なファイルをダウンロードしてしまう可能性がある」という問題が発見された。Appleはこの問題に対し、「これは脆弱性ではなく仕様で、すぐには改善しない」という旨の回答をしていたが、Microsoftは5月30日、Windows XP/Vistaの問題と組み合わせて攻撃された場合に任意コードを実行されるおそれがあるというセキュリティ勧告を発表した。MicrosoftまたはAppleからアップデートが出るまでWindows版Safariの使用を控えるようMicrosoftは勧めている。
Safariの問題は「Safari Carpet Bomb(Safariじゅうたん爆撃)」と名付けられており、HTML内に簡単なスクリプトを仕込むだけで、任意のファイルをダウンロードフォルダ(Windows版Safariのデフォルトではデスクトップ)に勝手に保存させることができる、というもの。これは、未知のcontent-typeが指定されたファイルをユーザーの許可なしに勝手にダウンロードするというSafariの仕様を突いたものだが、Appleはこの件に対する問い合わせに対し、「セキュリティチームに改善のリクエストはしておくが、これはセキュリティ的な問題としては認識していない。また、この問題の改善には時間がかかるかもしれない」との回答をしている。
郷に従え (スコア:3, すばらしい洞察)
Windows版を出す際考慮するだろう。Windows上でのほかのブラウザでは
こういうことは起こらないわけだし。
マトモな会社ならね。
Re: (スコア:0, フレームのもと)
チェックが入ってるしな。
チェックを外しているのに、パッチを当てたり、バージョンが上がるたびに
勝手にチェックを入れやがる。
自分の郷だから直す気なんてないんだろうな。
だいたいウイルスに感染しないなら"安全な"も糞もないだろうし、怪しい
ファイルがあったとして、それを完璧にブロックできるのかね、あれは??
WIN32_TROJAN.SFR (スコア:2, すばらしい洞察)
騙してインストールさせる。
そのツールが本当に使えるのか、まったく使えないかは別問題。
そしてそのツールは、単体では害が無いものの(あるかも)、外部から
マルウェアをユーザが気づかないところでダウンロードしてきてOSに
インストールさせたりする。
そのツール自体が感染するのではなく、感染するのはWindowsなので、
そのツールの開発元は「Windowsが脆弱なのに驚いている」と責任転嫁。
そのツールを使うことでWindowsユーザを危険な状態に陥れ、
「だからWindowsは危険。うちのプラットホーム使いな」と言う。
どこのベンダーのどのツールとは、敢えて言わない。
Re: (スコア:0)
> 勝手にチェックを入れやがる。
初耳です。自分の環境では経験がないのですが本当ですか?
Re: (スコア:0)
>チェックが入ってるしな。
あってる
>チェックを外しているのに、パッチを当てたり、バージョンが上がるたびに
>勝手にチェックを入れやがる。
まちがってる
情報は正確に把握して伝達しましょう。
思い込みはよくないですよ。
Re: (スコア:0)
いくらなんでも (スコア:2, すばらしい洞察)
有害なファイルが自動的にデスクトップなどのクリックしやすい環境におかれる危険性があって、それをクリックされたらOSが実行する(exeならVistaの場合はUACが働くだろうけど)のは当たり前だというのに、「MicrosoftまたはAppleからアップデートが出るまで」と大幅に譲歩した表現を使っている。
煽るような言い方で申し訳ないが、Macユーザーの常識では、知らないファイルが勝手にぽんぽん増えていくのは当たり前のことなのだろうか?
Re: (スコア:0)
Re: (スコア:0)
責任の順位的には、「ユーザ>Apple>MS」じゃないかねぇ?
Re: (スコア:0)
ユーザーが落としている事に気づかないとダウンロードを止める事すら出来ないわけで。
# このPCは乗っ取ったってデスクトップとかに置いといてユーザーに実行させて本当に乗っ取るとか。
# 少なくとも心理的なソーシャルハックには使えるわけでヤバイでしょう。
Re: (スコア:0)
むしろそれ(知らないファイルが勝手にぽんぽん増えていく)って、 windows の方じゃね?
知らないファイルかどうかはともかく、デスクトップにともかくファイル置きまくってデスクトップ埋めつくす系って windows じゃない
Re: (スコア:0)
>知らないファイルかどうかはともかく、
いきなり前提をねじまげて何かを語ったつもりになってるんだろうか?
>デスクトップにともかくファイル置きまくってデスクトップ埋めつくす系って windows じゃない
そんなの使い方の問題だろ。プラットフォームには何も関係ない。
誤解を招きかねない記事を追記 (スコア:1)
http://itpro.nikkeibp.co.jp/article/NEWS/20080602/305624/ [nikkeibp.co.jp]
#余計なものモデつけられそう
言いがかりだろ・・・・ (スコア:0, フレームのもと)
それが、Windowsの脆弱性か何かで実行されて初めて問題になるんじゃないのかね?
exeファイルがダウンロードされたらいやかな、とは思うが・・・
そこが問題と言えば問題か。
# やっぱ、MS社内じゃ、Firefox,Opera,Safariの問題を探す部隊とかいるんだろうか・・・・
Re:言いがかりだろ・・・・ (スコア:5, 参考になる)
Re:言いがかりだろ・・・・ (スコア:1)
デスクトップ上へダウンロード->デスクトップ上に同じアイコンが複数出現->ユーザが間違って開いてしまう可能性が
あるのではないでしょうか。
この場合Windowsというよりも、ユーザという複合的要因になりますが
Leopardでダウンロードファイルの実行前問い合わせが実装されましたが、
XPSP2以降に実装されたZoneIDを付加するなど近いことはできるのに、とは思ってしまいます。
#デスクトップ上にファイルが作成されたら、自動的にZoneIDを付加するのがMS側の取れる対策かな?
Re:言いがかりだろ・・・・ (スコア:1)
正直、Winnyのトロイが利用してるフォルダや画像と同じアイコンの実行ファイルと同じ手口が使えるわけで。
>#デスクトップ上にファイルが作成されたら、自動的にZoneIDを付加するのがMS側の取れる対策かな?
「ネットワーク通信を使用したアプリケーションがファイルを作成しようとするとZoneIDが自動的に付与される。」とかならアリかもしれません。
ただし、影響範囲が広くなりすぎるので無理でしょうが。
ブラックリスト方式で設定した名前のアプリケーションが作成するファイルにZoneIDが付与されるでも良いかもしれない。
安全側に振った場合はホワイトリスト方式にしてセットアッププログラムが所定の手続きで登録してねって感じかな。
Re:言いがかりだろ・・・・ (スコア:3, 参考になる)
コマンドプロンプトから で表示可能です。
ということで、親コメントのような誤クリックを誘発する方法は回避できるようです。
Re:言いがかりだろ・・・・ (スコア:1)
FAT32環境じゃなければ大丈夫なようですね。
最近じゃFAT32なWinNT系もあまり見なくなったしなぁ
Re:言いがかりだろ・・・・ (スコア:1)
他人のアラを嗅ぎ回る前に、彼らにはするべき事がありそうな気もしますが:)
ただ、他のプロダクトとの差異を洗い出す作業は、やってるんじゃないですかね。
そこら辺の絡みで、かなり深く挙動を探る、というのはアリな気がします。
Re: (スコア:0)
#自分のウマシカさを河馬ーできないAC
Re:言いがかりだろ・・・・ (スコア:1, すばらしい洞察)
bugzilla [mozilla.org]にsecurityフラグ立てて登録してくれたら、サイコーじゃないですか?
Re:言いがかりだろ・・・・ (スコア:1, 興味深い)
言いがかりとは君のような意見のほうを言う。
Safariの脆弱性による攻撃被害がMSにクレームとして集まり、調べたところ
当然Safariに問題があることがわかっただけ。
Appleがとっとと対応してくれれば別にMSが動き出さなくても問題は無いのに、
Appleの脆弱性修正は非常に時間がかかる。
素直に脆弱性であると聞き入れないことも多いし。
その間も被害者は増え続けてしまうので、ユーザのことを考慮してMSのほうから
アドバイザリーを公開しただけ。
前にもMySpaceでAppleは同じようなことがあった。
QuickTimeの脆弱性を認めないせいで、MySpace側が独自に対処策を公開した。
Re: (スコア:0)
しかも、これは、別にWindows版だけが危ないわけではなく、Macでも同じくらい危ないですよ。「仕様」ですから、OSXでも同様の挙動です。
Re:言いがかりだろ・・・・ (スコア:1, おもしろおかしい)
そもそも、ウィルス等が存在しないので、どんなファイルがダウンロードされても安全なのだ。
児童ポルノ画像がダウンロードされたら終わり (スコア:2, すばらしい洞察)
Re: (スコア:0)
Re:言いがかりだろ・・・・ (スコア:3, すばらしい洞察)
このSafariの機能は、ダウンロードフォルダ(Windowsではデスクトップ)にトロイ置き放題なので、Winnyに酷似していますし、他のどのようなソフトウェアの挙動とも似ていません。さらに、この手のトロイはその作成の容易さから鑑みて、ウィルス対策ソフトでは防げません。ユーザーの高い意識とベンダに改良の意思が必要です。
Re: (スコア:0)
Re: (スコア:0)
安全だと認識してるファイルに対しても警告出すからね。
Re:言いがかりだろ・・・・ (スコア:2, 参考になる)
usroリソースの話を知ってれば、とても言えた台詞じゃない。
ダウンロードしたjpgファイルのダブルクリックで個人ドキュメント全削除なんて状況が、
ごく最近修正されるまで、放置されてる世界。
シェアが小さすぎて、狙う価値が無い、という事実で守られてるだけだってのを知るべき。
Re:言いがかりだろ・・・・ (スコア:1, 参考になる)
神話が崩れるまでは。
Re: (スコア:0)
「死ぬまで不死身」って言葉を思い出しました。
Re: (スコア:0)
そんなのWindowsでは当たり前の話じゃないか。
Re: (スコア:0)
セキュリティホールというなら、どんなファイルも開くこと自体が問題となる。
Leopardと違って、警告無しに開くのはWindowsの責任。
Re: (スコア:0)
で、safariではwinでもmacでも”自らダウンロードしたファイル”以外のファイルがダウンロードされるってのがこのストーリーですが?
それを間違って実行して全削除になるのは、ユーザーの責任?
自分が知らないファイルを作成、実行出来ちゃうのにmacは安全?
馬鹿ですか?
Re: (スコア:0)
セキュリティホールではないという事実を曲げることは出来ない。
Re: (スコア:0)
Windows版は使ったことないので知っている人がいたら教えて欲しいのだが、
Mac版だと.phpみたいなファイルでもダウンロード時に「実行ファイルですよ?」みたいな警告がでるんだけど、
Windows版ではでないの?
Re:言いがかりだろ・・・・ (スコア:1)
winでもmacでも”ダウンロードしますか”の警告がでます。
safari以外では。
今回のストーリーは特殊なhpの書き方により、winでもmacでもsafari使用時に
”ダウンロードしますか”も「実行ファイルですよ?」も出ずに勝手に
ダウンロードされてしまう。
というストーリーだと思います。
Re: (スコア:0)
幸いにして我が国ではまだだけど、児童ポルノの単純所持が犯罪になる国であれば、これは所有者を犯罪者に仕立て上げるという大きな脆弱性になるんでは?
所有者に全く意識させず、勝手に任意のファイルをダウンロードさせることができるわけでしょう?
ユーザーに気づかれないように画像をダウンロードさせておいて、かつ、ダウンロードしたIPを自動的に通報する仕組みをサーバー側に入れておけば犯罪者の大量生産が可能ですな。
その点では、デスクトップ上にファイルが作られるWindows版よりも、Mac版の方がさらに極悪かも..
悪意のあるソフトウェアの削除ツール (スコア:0)
Safariだけなら、こまりゃしない。
窓国のルールなんですね。分かります。 (スコア:0, すばらしい洞察)
郵便物が爆弾やウイルスかもしれないし、爆発や感染したら郵便局のせいにしたくは無いですからね。
でも、メールの添付ファイルは問答無用でダウンロードできるから不思議。
結局クリックして起動しなければいいだけの話で、じゃあSafariの設定も
そうすれば済むのと同じゃないかな。
窓国って支配者も住人も本当に不思議な人ばかりなんですよね。
Re: (スコア:0)
Re: (スコア:0)
そのままで開く事はなくユーザーの許可があって初めて開きます。
>結局クリックして起動しなければいいだけの話で、じゃあSafariの設定もそうすれば済むのと同じゃないかな。
環境によってはそうじゃないから問題なんじゃない?
自動でダウンロードするならSafariの管理するダウンロードエリアだけに留めてチェックアウトする時に許可を出すべき。
決してユーザーが任意に構築して使う事を想定しているデスクトップへ置くのは良くない。
貴殿のデスクトップやDockがゴミの山で埋め尽くされたらどうよ。
Re: (スコア:0)
盲目にも程がある。
Re: (スコア:0)
近いのはクッキー受け入れを許可している場合のクッキー保存場所ですね。
クッキー受け入れ拒否(ポストを立てない)事もできますから。
safariは”許可していない場所に勝手に進入して爆弾を置いていく(不法侵入の爆弾テロ)”んですが?
つまりこういうことですか。
不法侵入して勝手に飲み食いして散らかしていくのが、林檎国の常識。
判ります。
Re:本日のおまえがいうなスレはここですか? (スコア:1, すばらしい洞察)
Re: (スコア:0)
強力なバックドアでしょ
Re: (スコア:0)
どう考えても、Safariの挙動に問題がありすぎるだろう
なぁ、ほんとうに常識的に「考えて」みたか?
Re: (スコア:0)