[harden-mac:0289] Safariについて

[vm_converter <vm_converter@xxxxxxx>]

石川です。

このMLらしく、Safariのセキュリティに関するスレッドでも立ててみようかと。
とりあえず、Safariが公開されてから私が得た情報や検証した内容について
書いてみます。

以下、思いっきり長文です。済みません。

○『[harden-mac:0249] IE5(Mac Classic) で Cookie に関する問題』
　以降のスレッドで続いている件とSafari

これは、[harden-mac:0285] に書いた通りで、予めダウンロードさせて
おいたファイルをサイト上のHTMLからJavaScriptによって叩けるし、
ローカルのHTMLファイルからJavaScriptによってSafariを制御できる
みたいです。
# 実際にJunnamaさんのスクリプトでCookie取得までは行かなかった
# とは言え。

この件はとりあえず、JavaScriptオフで対処ですかね...。

○Auto file execution vulnerability in Mac OS 関係

太洋さんが公開されている、
http://www.u-struct.com/diary/img/20020131_OSissue/
をSafariで開くと、やはり自動的に強制ダウンロードが始まり、解凍され、
ディスクイメージのマウントまで行ってしまいます。
Mac OS X単体で使っている限り、ディスクイメージ内のファイルの自動
実行までは行かないようです。
ただ、今手元にClassic環境が無くて、そこから先Classic環境のQuickTimeを
利用したAutoStartが可能かどうか解らないんですが、恐らくClassic環境
が起動していれば、最後のexploit実行まで行くものと思われます。

METAタグ中のrefreshではなくて、iframeやframeでの自動ダウンロードに
関しては、森さんが [harden-mac:0286] に投げた通りですね。

ただし、SafariのPreferenceにある「Open "safe" files after downloading」
をオフにすると、強制ダウンロード後の解凍・マウントは行われない
みたいです。つまりファイルを保存するだけ。
# これがデフォルトでオフなら私は嬉しい所ですが...。

# 済みませんが、暫くClassic環境の無いまま生活しないといけなさそうなの
# で、どなたかClassic環境が起動されている状態で、exploitまで実行
# されるかの検証をお願いします。

○ file:///〜 でのファイル実行だけ抜き出して考えると

これは出来ないようですね。
Safariのアドレス欄に「file:///〜」と入力しても、アプリをSafariの
ウィンドウにドラッグ＆ドロップしてもファイルは実行されないようなので
先に述べた様にClassic環境を実行していないMac OS X単体であれば、
太洋さんの手法ではファイル実行できないかと。

アドレス欄に「file:///Applications/iTunes.app」とか入力すると
faviconの様なアイコンが表示されるので何かやってるんだろうとは
思いますが、とりあえずFinderでウィンドウが開いて該当のものを
表示するだけのようです。

ちなみに「file;」を付けないで「/」から始めて「/Apprications」とか
だけ入力しても、Finderに処理が渡ってウィンドウが開きます。

○デフォルトブラウザになるであろう事に関して

Safariを入れた方はお気付きだと思いますが、デフォルトで使われる
ブラウザが勝手にSafariに変更されますね。
なので、Safariが正式リリースされる将来以降は現在のIEと同じく
OS Xユーザのブラウザを相当絞り込めることになるかと。

で、一つ気になったのは、デフォルトのファイルダウンロード先は
システム環境設定のインターネットで規定した場所になるって事です。
つまり多くのユーザはやはり ~/Desktop になるんだろうと思います。
正式リリース時も変わらなさそうな気がしますし。
これはやはりユーザが自分で変えた方がいいかと。

○Safariの自動インストールに関して

これは別にSafari自体のセキュリティに関してではないんですが。

/.Jの『AppleのWWWブラウザ『Safari』 』のコメント
http://slashdot.jp/comments.pl?sid=66940&cid=231782
でも懸念されている方がいらっしゃいますが、
アップルのSafariについてのページ
<http://www.apple.co.jp/safari/index.html> によれば、Safariは
ディスクイメージから自動的に取り出され、ディスクイメージは削除
されますね。
# 確認したかったらダウンロードした「nph-safari.hqx」を解凍して
# みれば解ります。

で、私はこれをどうやって実現しているか解らないんですが、実現の
仕方が解った暁には、ちょっとマズイかも、と思います。
前述のファイルダウンロード先の話と組み合わせて考えれば、いきなり
exploitをむき出しの形でDesktopに置けるかもしれない訳で。
アプリの提供側としてはウリになる便利な機能なのかもしれませんが。
# Safariのインストール時は一応使用許諾が表示されますね。

参考までに、Safariインストール時にDisc Copyを強制的に止めるとか
Consoleを表示していれば解りますが、Safari本体が入ったディスク
イメージは、/private/tmp/Safari Beta として一時的にマウント
されるようです。

・強制的にインストールを止めて df した結果
/dev/disk1s2                     22960    15288     7672    66%    
/private/tmp/Safari Beta

○ローカルファイルもHTTP_REFERERとして吐かれる

同じく/.JのSafariのストーリーで
http://slashdot.jp/comments.pl?sid=66940&cid=232071
と書かれている様に、ローカルファイルもRefererとして吐かれますね。
まぁこれはその内治るでしょうが、しばらくは気をつけた方が良いかと。

これを解消する、
・WebCore.framework v48 ヘチマ版 v3
http://he-com.hp.infoseek.co.jp/safari/index.html
を公開して下さっている方もいるようです。

------------------------------------------------------------
とりあえず、今のところ考えたのはこんな感じです。
他にも例えば「SSLの証明書周りが...」とか「Cookieの管理が...」とか
あるんですが、私的にはまぁまだベータだしってことで。

他にも何かあったら教えて下さい。

-- 
石川 泰久／vm_converter
vm_converter@xxxxxxx


--[PR]------------------------------------------------------------------
　　　　　【 FreeML “ちょっとお得な”情報ページ 更新！！】
　
　　　　　プロ作成・高音質で好評の着メロサイト「着ムリョ♪」
　
　　　　▼まだ有料サイト？ => http://m.freeml.com/i.php?id=38
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp