JSONをvbscriptとして読み込ませるJSONハイジャックに注意 12
ストーリー by hylom
回避方法もありますので元記事をご確認あれ 部門より
回避方法もありますので元記事をご確認あれ 部門より
あるAnonymous Coward 曰く、
セキュリティ関連のエンジニア・コンサルタントである徳丸浩氏が、「JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意」として注意を呼びかけている。
JSONの読み出しに使われるXMLHttpRequestでは呼び出し元と同じホスト名およびポート番号、スキームのリソースしか読み出せないというポリシーがあり、データを想定外のドメインからは読み出せないようになっている。ところが、IEではJSON形式のデータをvbscriptとしてロードさせることで、通常は読み出せないJSON情報に不正にアクセスできてしまう。これにより、不正サイトにIEでアクセスさせることで、非公開の情報を取得することが可能になってしまう。
この挙動はIEのバグで、IE6~8については5月15日に公開された「マイクロソフト セキュリティ情報 MS13-037 — 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (2829530)」で修正されている。ただし、IE9以降では修正されず、またこの更新プログラムを適用していないIEがしばらく存在する可能性も高い。
対策方法も上記の記事に記載されているので、JSONを使って非公開の情報をやり取りするようなWebアプリケーションを扱っている開発者は問題がないか確認しておくと良いだろう。
脆弱性の発見・報告者による解説 (スコア:1)
http://d.hatena.ne.jp/hasegawayosuke/20130517 [hatena.ne.jp]
http://d.hatena.ne.jp/hasegawayosuke/20130519 [hatena.ne.jp]
なぜこれを一次ソースに持ってこないかね。
Re: (スコア:0)
『X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! 』だそうです。
死にたくないんじゃないですかね?
# 御大といいセキュリティー関連の専門家は心の脆弱な所を攻撃するのね・・・
今までよく表沙汰にならなかったな・・・ (スコア:0)
Webにおけるvbscriptはロストテクノロジーということか・・・
こんなのよく思いつくな~ (スコア:0)
コロンブスの卵ですね。
ドメインの制限を突破できるだけ? (スコア:0)
ベーシック認証は超えられそうな気がするけど、
HttpOnlyのCookieでログインするサイトも突破できるんかな?
これが突破できないと大した問題じゃ無い気がする。
Re: (スコア:0)
JSからJSONファイルにアクセスするような仕組みのサイトだと
ブラウザが勝手にCookie送っちゃうから
Cookieの自動ログイン使ってても盗聴できると思う
○○できる「だけ」 (スコア:0)
本当に「だけ」という言葉で済むようなことなのかどうか一切無関係な万能さがヤバい
「ジェイソンハイジャック」というと (スコア:0)
アイスホッケーのお面を被った人が
チェーンソー得物を持って襲ってくるイメージなので素人にもわかりやすい(笑)#それはJason Voorhees
Re: (スコア:0)
ディスカウントショップだな。
良く利用してる。
100円ショップよりさらに安いことがままある
Re: (スコア:0)
100円ショップは100円しないものを100円で
売っているところですよね。
Re: (スコア:0)
100円以上するものを100円で売るのはバカじゃないか
JSONを使って非公開の情報をやり取りする (スコア:0)
それを公開というのでは