Interviews Brawte nfaq 0 Comments

2人のペンテスター、1つの不具合:Firefoxブラウザが古いファイル盗聴バグ、いや、機能の脅威にさらされる

Table of Contents

2人のペンテスター、1つの不具合:Firefoxブラウザが古いファイル盗聴バグ、いや、機能の脅威にさらされる

Mozilla は、1 月に公開されたにもかかわらず、ほぼ 1 年間、古くからある欠陥の新しい変種を放置していました。

この問題は、SySS GmbH の Vladimir Bostanov 博士が 2018 年 7 月に Moz に非公開で報告してから数か月後の 2019 年 1 月 16 日に明らかにしたもので、ファイル URI の Same Origin Policy (SOP) の古い実装に依存しています。

ブラウザにローカル ファイルを読み取らせることは特に目新しいことではありません。最初の報告が出された頃に生まれた人たちは、おそらく今頃は車の運転を習おうかと考えていることでしょう。

公平を期すために言うと、Mozilla のセキュリティ リーダーである Daniel Veditz 氏は次のように語っています。「当時はすべてのブラウザーがこのように動作していました。Firefox は 2008 年に Firefox 3 でより厳格な処理に移行した最初のブラウザーでしたが、互換性の問題により、それでも私たちが望んでいたほど厳格ではありませんでした。」

7年前に発表された最近の報告書でも、この問題が再び強調された。

当時は、これが Firefox の有効な使用例であり、これを修正すると既存のアプリケーション (HTML ドキュメントなど) が壊れるのではないかという懸念がありました。

しかし、注目すべきは、GoogleがChromeでは少し異なる対応をとっており、より厳格なセキュリティポリシーを適用しfile://、各ファイルを異なるオリジンとして扱っていたことです。もちろん、Firefoxではファイルが同じディレクトリ内の要素にアクセスすることを許可していました。

Chrome は使用率と重要性の両方で Firefox をずっと上回っているため、強化しない理由として「でも、それは物事を壊すだろう」という言い訳は少し冗長です。

ヴェディッツ氏は次のように述べている。「Chrome はさらに厳格な動作に飛躍的に進化しており、私たちもそれに追随しています。」

直撃だ

ボスタノフ氏の報告は、実装に新たな展開を示唆している。ハッカーがファイルを盗むにはファイル名を知る必要があると考えられていたが、Mozillaの実装にバグがあり、悪意のあるコードがディレクトリリスト全体を取得できる可能性がある。そして、リスト内のファイルの内容が吸い上げられ、攻撃者のサーバーにダンプされてしまうのだ。

確かに、多少のソーシャルエンジニアリングは必要です。

ボスタノフ氏は、ユーザーがよくある手口(「ここをクリックして無料のiPadをゲット!」など)で悪意のあるHTMLファイルをダウンロードするように仕向けられ、ファイルマネージャーなどを使ってそのファイルを開くというシナリオを示唆しています。Firefoxでファイルを開くと、ディレクトリ一覧と、ファイルは「保護」されているため「セーフモード」で開く必要があるといった内容のメッセージが表示されます。ユーザーがファイルへのリンクをクリックしてセーフモードで開くと、なんと、悪意のあるJavaScriptが侵入し、同じディレクトリ内のすべてのファイルを丸呑みしてしまいます。

別の研究者であるBarak Tawily氏は、2週間前にMozillaのBugzillaトラッカーに同様のエクスプロイトを投稿しました。Tawily氏はクリックジャッキングを用いてユーザーから危険性をさらに隠蔽しようとしましたが、根本的な問題は同じです。Tawily氏の手法は先週、The Hacker Newsで取り上げられました。

この問題を証明するために、ボスタノフ氏のチームは概念実証を作成しました。ただし、このツールを使用する際には注意が必要です。少なくとも、簡単に削除できるフォルダにダミーファイルをいくつか作成しておくことをお勧めします。

数回の無害なマウスクリックで、これらのファイルが他人のサーバーに現れるのを見るのは、確かに気が重くなります。Windows 10でFirefox 67.0.4を使用しましたが、このエクスプロイトが宣伝どおりに機能することを確認しました。

ボスタノフ氏はタウィリー氏を称賛し(The Register紙で「堅実なペンテスター」と評した)、Mozillaは同氏から批判を浴びた。何しろ、このディレクトリリストのバグは昨年も指摘されていたのだ。

Firefoxのロゴ

ああ、ああ!Firefoxファンにアップデートとパッチ適用を強く求める、悪意ある人物によって悪用されたゼロデイ脆弱性

続きを読む

ボスタノフ氏は、bugzilla.mozilla.orgからの返答を得るのに苦労したと語り、「彼らはほとんど私に話しかけてきませんでした。私の投稿に反応することなく、彼ら同士で話し合っていました」と述べた。彼は議論を「興味深く、生産的だった」と表現したが、「私は参加できませんでした。何を書いても反応がありませんでした」と付け加えた。

そしてこのバグはそのまま残り、Tawily が最新の報告者となった。

ボスタノフ氏のチームは全員Firefoxユーザーで、彼は財団に対して好意的な言葉を述べた。「Mozillaには感銘を受けています。彼らの活動は素晴らしいと思います。ですから、ユーザーとして、Mozillaの改善に非常に関心を持っています。」

老舗ブラウザにとって、ここ数ヶ月は厳しい状況が続いています。Chromiumの勢いが止まらないと思われていたのに、それを食い止めようとする努力は、5月に拡張機能の証明書の期限切れでユーザーを困惑させ、6月にはゼロデイ脆弱性が発覚したことで頓挫しました。Mozillaはまた、収益増強策として「プレミアム」サービスの導入も検討しています。

しかし、朗報もあります。ブラウザメーカーは次のように語っています。「現在、ユーザーに送信されたファイルによってローカルファイルが漏洩しないよう、セキュリティモデルを更新中です。パッチは数日以内に配布される予定です。」®

Interviews

Smart Recommendations

Discover More