Microsoft Edgeの同一生成元ポリシーを迂回可能なバグ 17
難しい 部門より
Microsoft Edgeの同一生成元ポリシー(SOP)を迂回し、別のドメインからCookieやログイン情報などを取得できるバグが発見された(Broken Browser、Register、On MSFTの記事[1]、[2]、Neowin)。
Microsoft EdgeやInternet Explorerには、サーバーリダイレクトの途中でwindow.locationの内容を書き換えると、リダイレクト先をリクエスト元と認識するバグがあるのだという。これをリダイレクト先ページ内のiframeに適用し、locationにデータURIスキームでJavaScriptコードを指定すれば、ほぼ親ドキュメント(リダイレクト先ページ)のコンテキストでコードが実行できるとのこと。ただし、リダイレクト先の読み込みが開始される前にlocationを書き換えてしまうと予期した通りの動作をしない。そのため、PoCではアラートを表示してコードの実行を待機させている。
PoCとしては、TwitterやFacebookのログインページにリダイレクトしてブラウザーが保存したログイン情報を表示するものや、Google reCAPTCHAのページにリダイレクトしてCookieを表示するもの、リファラーをmicrosoft.comに偽装するものが公開されている。コードを一部変更することで、Internet Explorerでも動作するようだ。
なお、テストした環境(Windows 10 Creators Update)ではFacebookのログイン情報が取得できず、Twitterは空のユーザー名とパスワードが表示されることもあった。また、Broken Browserの記事に掲載されているスクリーンショットとは異なり、リファラー偽装のPoC以外ではアドレスバーにURLが表示されず、ページタイトルも「空白のページ」となっていた。
今回のバグはMicrosoftも認識しているが、修正時期については明言していないようだ。バグを発見したセキュリティ研究者のManuel Caballero氏は、4月にもMicrosoft EdgeでSOPを迂回可能なバグを2件発見しているが、これらは未修正のままだという。ちなみに、昨年12月にCaballero氏が発見したMicrosoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題については、3月の月例更新での修正は迂回方法が同日発見され、さらに5月の月例更新での修正も迂回方法が同日発見されている。
IEコンポーネントで動くのかしら (スコア:0)
OutlookとかにHTMLメールを送りつける攻撃が成立する?
Re: (スコア:0)
IEコンポーネントとEdgeは全く別の存在でしょ。
Re: (スコア:0)
>コードを一部変更することで、Internet Explorerでも動作するようだ。
Re: (スコア:0)
うお、マジか。
やっぱり記事はちゃんと読まなきゃいけないね。めんご。
Re: (スコア:0)
もしかしてOutlookってhtmlメールを無条件にhtmlとしてレンダリングするの?
いやまさかそんな恐ろしいMUAが世の中にあるわけ・・・ないよね???
Re: (スコア:0)
2000年ぐらいから MUA ではは、レンダリングはするけど、その中に含まれる javascriptの実行だとか 画像のダウンロードだとか「表示」に関わるもの以外は何も実行しないという方になってきてる。
Re: (スコア:0)
JavaScriptが動かないのであれば今回の件に関しては大丈夫かねー。
OutlookはWordコンポーネント (スコア:0)
Java Scriptは動かなくはないが、そもそも限られた機能しか無いから攻撃しようがない。
#WordのHTML機能ではCookie生成自体できないと思われる。
もうサポート切れしている古いOutlookならIEコンポーネントだが、とはいえかれこれ25年も前からJava Scriptに動作制限やり始めている。
Cookieが作れるほど古いバージョンともなると制限のないIEでさえ今回のスクリプトが動くかどうかも怪しい。
Re: (スコア:0)
信頼済みサイトなどに登録されているサイトからのメールであっても
MTAにおけるIEコンポーネントではインターネットゾーンで扱われるのでは?
故にインターネットゾーンの設定によるということが基本となり
そのうえでMTAの実装によって許可されることが異なってくる
・HTML表示/非表示
・画像表示/非表示
・スクリプト有効/無効
・etc...
よくわからんが (スコア:0)
内容読むとけっこうヤバそうな脆弱性な感じもするが、たいして話題になってないってことは大丈夫なんだろう(他人任せ感
容易な攻撃シナリオがないのかな 知らんけど
Re: (スコア:0)
2つある鍵のうち1つが開けられるようになっていた位の問題。
それはもちろん…WebサービスがCookieにパスワードを復元可能な状態で保存するような洒落にならん事をしていたら一発アウト。
特定条件下で任意のコードが実行可能になるようないつもの問題と比べると…
影響範囲は広いがそれだけで実害が出るわけではない。
早めに直すに越した事はないが、トラブル起こすくらいなら時間かけて直してほしいような類の問題。
Re: (スコア:0)
修正しないとも言ってないがな。
Re: (スコア:0)
後ろを見れば、「修正しようとは思ってるけど、いつになるかわからないし修正できないかもしれない」なのは分かりきってるのにね。
Re: (スコア:0)
そこはカイジの利根川メソッドでいってほしかった
Re: (スコア:0)
修正するとは言ってないから。
Re: (スコア:0)
既出?