https://www.bravotouring.com/~yano/archives/2004/07/03/ Recent content in 2004/07/03 on Yano's digital garage Hugo en-us Sat, 03 Jul 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040703.htm Sat, 03 Jul 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040703.htm <p>オンラインバンキング等のログイン情報を盗む危険性が懸念されているトロイの木馬<span class="Virus">Download.Ject</span>の対応策が<a href="http://www.microsoft.com/japan/technet/security/" target="SubWindow">マイクロソフトTechNetセキュリティセンター</a>から示された。</p> <p>簡単に言うと<span class="Tradename">Internet Explorer</span>の内部でファイルをダウンロード・アップロードする<span class="Software">ADODB.Stream</span>機能を<span class="Worning">使用できなくする</span>というものだ。</p> <p>但し<a href="http://www.microsoft.com/japan/security/incident/adostream.mspx" target="SubWindow">Internet Explorer で ADODB.Stream オブジェクトを無効にする方法</a>に<blockquote>多くのWebアプリケーションが、Internet Explorer 上でハード ディスクへのファイルの読み書きを行う際に ADODB.Stream オブジェクトを使用していると考えられます。たとえば、イントラネットサーバーで、社員が既定の文書ファイルを必ずダウンロードして入力しなければならない場合、そのファイルをローカルコンピュータに保存する時に ADODB.Stream オブジェクトを使用します。ユーザーがそのファイルをローカルで編集した後、そのファイルをサーバーに保存する場合に、ADODB.Stream オブジェクトを使用してローカルのハード ディスクから読み込み、サーバーへの保存をします。</blockquote>と書かれているとおり、<span class="Worning">一部のwebアプリケーションの動作に支障が生じる可能性がある</span>ので要注意。その時は<span class="Software">レジストリエディタ</span>で<span class="Strong">Compatibility Flagsの値を０</span>にすれば復旧できるそうだ。</p> <p class="Reference">【参照】 <br/>●ITmedia <a href="http://www.itmedia.co.jp/" target="SubWindow">http://www.itmedia.co.jp/</a> <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/0407/01/news061.html" target="SubWindow">新たなトロイの木馬攻撃で浮き彫りになるIEの危険性</a> 2004年7月1日 <br/>┗<a href="http://www.itmedia.co.jp/enterprise/articles/0407/03/news015.html" target="SubWindow">Microsoft、Windowsの設定変更でIIS攻撃に対応</a> 2004年7月3日 <br/>●TechNetセキュリティセンター <a href="http://www.microsoft.com/japan/technet/security/" target="SubWindow">http://www.microsoft.com/japan/technet/security/</a> <br/>┣<a href="http://www.microsoft.com/japan/security/incident/download_ject.mspx" target="SubWindow">Download.Ject に関する情報</a> 2004年6月25日 <br/>┗<a href="http://www.microsoft.com/japan/security/incident/adostream.mspx" target="SubWindow">Internet Explorer で ADODB.Stream オブジェクトを無効にする方法</a> 2004年7月3日 <br/>ダウンロード > <a href="http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=4D056748-C538-46F6-B7C8-2FBFD0D237E3" target="SubWindow">Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer (KB870669) - 日本語</a> 2004年7月3日 </p> https://www.bravotouring.com/~yano/diary/it/20040703a.htm Sat, 03 Jul 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040703a.htm <p>Webブラウザで一部のターゲットフレームに別のサイトを表示できてしまう問題が指摘されている。この問題を悪用してオンラインバンキングサイトの入力エリアを偽装したりすれば<span class="Strong">ID</span>と<span class="Strong">パスワード</span>を簡単に取得する事が可能になり、<span class="Worning">危険性はかなり高い</span>。</p> <p>早速<a href="http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/" target="SubWindow">検証ページ</a>で確認したところ、<span class="Tradename">Internet Explorer</span>と、<span class="Tradename">Opera</span> <span class="Strong">7.23日本語版</span>、<span class="Strong">7.51英語版</span>において<span class="Worning">この問題が再現する</span>一方で、<span class="Tradename">Mozilla</span> <span class="Strong">1.7日本語版</span>、<span class="Tradename">Mozilla Firefox</span> <span class="Strong">0.9.1日本語版</span>では<span class="Topics">この影響を受けない</span>。</p> <p>これはブラウザのバグと言うよりHTML言語規格の不用意なルーズさに起因する問題であり、Webブラウザの実装（ベンダーの思想）に左右されているものと思われるので、HTMLフレームをサポートしているブラウザフォン、WebTV、セットトップボックス等にも影響を受けるものがあるかもしれない。</p> <p>ちなみに<span class="Tradename">Internet Explorer</span>ではセキュリティ設定にある<span class="Strong">「異なるドメイン間のサブフレームの移動」</span>という項目を<span class="Topics">無効</span>にする事で制限できる。また<span class="Strong">インターネットゾーンのセキュリティ</span>を<span class="Topics">高</span>にする事により同じ設定が適用されるので安心だ。</p> <p>こちらの施策もサイトによってはオペレーションに影響を受ける恐れがあるが、そもそもフレーム内に別ドメインを表示するサイトなんてお粗末にも程がある。即刻切捨てるべし。</p> <p class="Reference">【参照】 <br/>●ITmedia <a href="http://www.itmedia.co.jp/" target="SubWindow">http://www.itmedia.co.jp/</a> <br/>┣<a href="http://www.itmedia.co.jp/enterprise/articles/0407/01/news032.html" target="SubWindow">IEにまた脆弱性、旧バージョンでは修正済みだがIE5/6には影響</a> 2004年7月1日 <br/>┗<a href="http://www.itmedia.co.jp/enterprise/articles/0407/02/news015.html" target="SubWindow">フレーム詐称の問題はIE以外のWebブラウザにも</a> 2004年7月2日 <br/>●日経IT Pro <a href="http://itpro.nikkeibp.co.jp/" target="SubWindow">http://itpro.nikkeibp.co.jp/</a> <br/>┣<a href="http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040630/146625/" target="SubWindow">IEにセキュリティ・ホール，フレーム中に任意のコンテンツを表示させられる</a> 2004年6月30日 <br/>┗<a href="http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040702/146756/" target="SubWindow">MozillaやOperaなどにも，フレーム中に任意のコンテンツを表示させられるセキュリティ・ホール</a> 2004年7月2日 <br/>●Secunia <a href="http://secunia.com/" target="SubWindow">http://secunia.com/</a> <br/>┗<a href="http://secunia.com/advisories/11978/" target="SubWindow">SA11978:Multiple Browsers Frame Injection Vulnerability</a> 2004年7月1日 </p>