【過去の「Webブラウザのセキュリティ情報(Netscape編)」】
【99/05/18】セキュリティ・バグ対応も行われた「Netscape Communicator 4.6」(日本語版) 公開
Netscape Communications社から、新バージョン「Netscape Communicator 4.6」の日本語版を正式にダウンロード可能な「Netscape Communicator 4.6 日本語版登場」で5月17日付けで公開されています。
現在、Windows版のみが公開されています。
◆ftp://ftp.netscape.com/pub/communicator/4.6/japanese/
(Netscape Communications:99/05/17)
尚、関連情報に、「AOL、コミュニケーターをアップデート」(CNET Briefs Tech News:99/05/18)があります。
【99/05/15】セキュリティ・バグ対応も行われた「Netscape Communicator 4.6」(英語版) 公開
Netscape Communications社から、新バージョン「Netscape Communicator 4.6」(英語版)がftp://ftp.netscape.com/pub/communicator/4.6/english/で5月14日付け(現地時間)で公開されています。
Mac版,UNIX版,Windows版が公開されています。
「Netscape Netcenter - Download and Upgrade Page for browsers, servers, shareware」では正式に公開されていませんが、内容説明は以下の通りです。
◆Communicator 4.6 Release Notes
(Netscape Communications:99/05/13)
「セキュリティを改良する修正」「AOL Instant Messenger 2.0のアップデート」「G2 プレーヤー」「デジタルの証明書を得るためのプロセスをシンプル化」「様々なバグ修正」等がVersion 4.6の改良点です。
残念ながら、「セキュリティを改良する修正」の詳細は紹介されていませんが、分かり次第フォローしていきます。
【99/03/08】速報! セキュリティ・バグにも対応した「Netscape Communicator 4.51」 公開
マイクロソフト株式会社から、この「Winセキュリティ虎の穴」で【99/01/08】にお知らせ済みの、「Netscape Communicator」の「Frame Spoof(いたずらフレーム)」セキュリティ・バグにも対応した「Communicator 4.51 Release Notes」が3月5日付けで公開されています。
「Netscape Communicator 4.51」は、以下のFTPサイトで公開されています。残念ながら「Netscape Navigator」の同時公開はありません。
・ftp://ftp.netscape.com/pub/communicator/4.51/japanese/windows/windows95_or_nt/
(日本語バージョンは Windowsバージョンのみ)
・ftp://ftp.netscape.com/pub/communicator/4.51/english/
(英語バージョンは Windows、unix、Macバージョンあり)
「Communicator 4.51」の主要なポイントは、「AOL Instant Messenger 2.0」の添付、「frame-spoofing vulnerability problem」に関する修正、その他の様々なバグ修正です。
[Netscape Security Notes]での変更点のアナウンスにも今後注目です。
【99/01/08】速報! 「Netscape Communicator」の「Frame Spoof(いたずらフレーム)」セキュリティ・バグ 公式見解
Netscape Communications社から、この「虎の穴」で昨日報告した、にせのウィンドウが利用者を騙して情報を集めることが可能で、悪意があるサイトへ情報が送られる可能性があるセキュリティ・バグ「The Frame-Spoofing Vulnerability 」が1月7日付け(現地時間)で公開されています。
対象は、フレームの使用をサポートするNetscape Navigatorのバージョン2.0以上の、全てのプラットホーム版です。また、問題解消は、将来のバージョンアップにて行われます。
攻撃の実現手段として、利用者が攻撃者の自分自身のwebsiteからリンクをクリックするように仕向ける、もしくは、おとり電子メールをJavaScriptをサポートするメールクライアントに送り、そして、ユーザをその電子メールのハイパーリンク(おそらく目標に定められたサイトへ)をクリックするように仕向けます。
回避方法は消極的ですが、見知らぬ不審なサイトを訪問しない、加えて、「Communicator 4.5」のメールにおける「JavaScript」機能を無効にすることと、されています。
【99/01/07】速報! 「Netscape Communicator」でも「Frame Spoof(いたずらフレーム)」セキュリティ・バグ?
「NT SECURITY NEWS」において、「Netscape Communicator」でも、この「虎の穴」で【98/12/24】に報告した、IEに対する「Frame Spoof(いたずらフレーム)」問題と同様な、にせのウィンドウが利用者を騙して情報を集めることが可能で、悪意があるサイトへ情報が送られる可能性があるセキュリティ・バグ「Netscape Communicator Frame Spoofing」が、1月6日付け(現地時間)で公開されています。
しかし、Netscape社は対応中とのことですが、[Netscape Security Notes]では、何も公開されていません。特にAOLに買収されてから、このページの更新が遅くなりました。
ちなみに、CNET社の1月5日付けの関連記事「Communicator subject to frame-spoofing」があります。この記事も1月4日付けの関連記事「Microsoft issues fix for IE frame hole」に引き続いて、翻訳版の「CNET Briefs Tech News」では、掲載されませんでした。残念ですね。
【98/11/08】4項目のセキュリティー・バグ対応?「Netscape Communicator 4.08」(英語版) 公開
Netscape Communications社から、この「虎の穴」で【98/10/06】に報告した、「Netscape Communicator 4.07」(英語版)の様々なセキュリティ・バグを解消した?新バージョン「Netscape Communicator 4.08」(英語版)がftp://ftp.netscape.com/pub/communicator/4.08/english/で11月6〜7日付け(現地時間)で公開されています。
Mac版,UNIX版,Windows版が公開されています。また、「Netscape Navigator」も同時公開されています。
対応済みかどうかは正式に公開されていませんが、「Netscape Communicator 4.07」が影響を受けていたセキュリティー・バグは、以下の通りです。
■「Injection Bug」:「虎の穴」【98/10/07】報告,JavaScriptに関するバグ
■「No-Cache Meta-Tag Bug」:「虎の穴」【98/10/30】報告,SSLアクセスに関するバグ
■「JavaScript Cache Browsing Bug」:「虎の穴」【98/11/01】報告,JavaScriptに関するバグ
■「MIME Type Buffer Overflow Vulnerability」: UNIX版のみ対象の為、未報告
セキュリティー・バグ対応状況は、詳しい報告がアップされる[Netscape Security Notes]に注目です。
【98/11/08】「Netscape Communicator 4.5」正式版(日本語版)公開
Netscape Communications社から、この「虎の穴」で【98/10/19】に報告した、Webブラウザの最新版「Netscape Communicator 4.5」の正式版(英語版)に引き続き、日本語バージョンがftp://ftp.netscape.com/pub/communicator/4.5/japanese/で11月7日付け(現地時間)で公開され、ダウンロード可能になっています。
Windows 32bit版のみが公開されています。また残念ながら、「Netscape Navigator」は同時公開されていません。
【98/11/01】スクープ! 「Netscape Communicator」の「JavaScript」に関する別のセキュリティ・バグ 公式見解
Netscape Communications社から、この「虎の穴」で【98/10/30】に報告した、「Netscape Communicator」の「JavaScript」に関する別のセキュリティ・バグ「The JavaScript Cache Browsing Bug」が10月29日付け(現地時間)で公開されています。
対象は、Windows 版の「Navigator 3.04 / 4.07」と「Netscape Communicator 4.5」のバージョンです。(マックOS,及びUnix OSバージョンは、影響を受けません。)また、アップデート版は、すぐにネットスケープ・Webサイトに掲載されるようです。
今回のバグの原因も、お伝えしているようにやはり「JavaScript」です。悪意のあるWebサイト・オペレーターが、ユーザーのブラウザー・キャッシュを読み取ることが可能なようです。
回避方法は、ブラウザの「JavaScript」機能を無効にすることです。具体的には、Communicatorの「Edit」メニューの中の「Preferences」項目を選択します。そして、その中の「Advanced」を選択します。そして「Enable JavaScript」機能のチェックボックスからチェックを外します。最後に「OK]ボタンをクリックします。
【98/10/30】暫定情報 「Netscape Communicator」の「JavaScript」に関する別のセキュリティ・バグ
CNET社の10月29日付け(現地時間)の記事「Another bug found in Navigator」が公開されています。(記事中のリンクの一部は、セキュリティ・バグのデモがいきなり起動されますので、安易にクリックしてはいけません。)
これは、日本語版の「CNET Briefs Tech News」でも翻訳されていない記事です。10月27日付けの関連(翻訳)記事「バグまみれのNavigator」(SSLアクセスに関する問題)という生々しい表題の記事の後に、新規に発見された「Navigator」のセキュリティ・バグですので、またかという感じです。
今回のバグの原因も、やはり「JavaScript」です。悪意のあるWebサイト・オペレーターや電子メールの送信者が、ユーザーのブラウザー・キャッシュやファイルのディレクトリー構造の情報を読み取ることが可能なようです。また、デモサイトも公開されています。
回避方法は、ブラウザの「JavaScript」機能を無効にすることです。2週間ほどで、Netscape社からパッチかパッチがあてられた「Navigator」がリリースされるようです。
まだ、[Netscape Security Notes]でも正式に報告されていませんので、今後フォローしていきます。
【98/10/30】「Netscape Communicator」のSSLアクセスに関するセキュリティ・バグ 公式見解
Netscape Communications社から、この「モバイル虎の穴」で【98/10/28】に報告した、「Netscape Communicator」のSSLアクセスに関するセキュリティ・バグ「No-Cache Meta-Tag Bug」が10月29日付け(現地時間)で公開されています。
対象は、「Windows 32ビット 版(Windows NT 4.0 と Windows 95/98版?)」の ローカル・メモリ・キャッシュの内部の取り扱いが変更された「Netscape Communicator 4.07 〜 4.5のバージョン」です。また、将来のリリースで修正されるようです。
このバグは、<META HTTP-EQUIV="Pragma"CONTENT="no-cache">という「HTML metaタグ」を有する「secure web pages (安全なWebページ)」に、影響を及ぼします。
多数の人々が同じPCを使う場合にのみ、この問題は発生します。もし、<META HTTP-EQUIV="Pragma"CONTENT="no-cache">という「HTML metaタグ」を有する「secure web pages (安全なWebページ)」にアクセスして、情報を入力した後、「Netscape Communicator」を再スタートしなければ、引き続き使用した別な人が、入力した情報を見てしまうかもしれません。回避方法は、「Netscape Communicator」を再スタートだけでOKです。
【98/10/28】暫定情報 「Netscape Communicator 4.5」のSSLアクセスに関するセキュリティ・バグ
CNET Briefs Tech Newsの10月27日付けの関連(翻訳)記事「バグまみれのNavigator」が公開されています。
この「モバイル虎の穴」で【98/10/19】に報告した、最新バージョンの「Netscape Communicator 4.5」に含まれる「Navigator 4.5」を使用して、SSL(セキュア・ソケット・レイヤー)を使ったサイトにアクセスし、それが一台のパソコンを複数の利用者で共有するケースだった場合、前の利用者のSSL通信が必要な程の重要な情報を見られてしまう可能性があるというものです。
まだ、[Netscape Security Notes]でも正式に報告されていませんので、今後フォローしていきます。
【98/10/20】追加情報 やはり「Netscape Communicator 4.5」正式版(英語版)は、「"Son of Cache-Cow" 問題」に対応済み
CNET Briefs Tech Newsの10月19日付けの関連(翻訳)記事「ネットスケープ、Communicator 4.5を出荷」があります。
取材内容ではやはり、JavaScriptが動くNetscapeブラウザのすべてのバージョンに影響を及ぼすセキュリティー・バグ「The Injection Bug」(「"Son of Cache-Cow" 問題」)へは、対応済みとされています。
【98/10/19】「"Son of Cache-Cow" 問題」に対応した?「Netscape Communicator 4.5」正式版(英語版)公開
Netscape Communications社から、Webブラウザの最新版「Netscape Communicator 4.5」の正式版(英語版)の概要である「Communicator 4.5 Release Notes」が10月16日付けで公開されています。また、FTPサイトで10月16日付けで公開され、ダウンロード可能になっています。
Windows 32bit版、Macintosh PPC版、UNIX版が公開されています。残念ながら、「Netscape Navigator」は同時公開されていません。
色んなニュース・サイトでは報じられていませんが、この「モバイル虎の穴」で【98/10/07】に報告した、「Brumleve Cache Bug」対応としてリリースされた「Netscape Communicator 4.07」も含む JavaScriptが動くNetscapeブラウザのすべてのバージョンに影響を及ぼすセキュリティー・バグ「The Injection Bug」(「"Son of Cache-Cow" 問題」)へは、対応済みなのでしょうか?
私が実験した範囲では、このセキュリティー・バグには、対応済みのようです。閲覧者のハード・ディスクのローカル・ディレクトリの構造やURLのキャッシュを、ローカルで取得した後、悪意のあるWebサイトへ情報を送ろうとした所?で、「JavaScript」の実行エラーが発生します。どうやら一安心です。しかし、Netscape Communications社からは、正式に対応状況は広報されていませんので、今後[Netscape Security Solutions]をウォッチする必要があります。
【98/10/12】Webブラウザの「JavaScript」機能は、全て停止?
Netscape Communications社から、この「モバイル虎の穴」で【98/10/07】に報告した、「Brumleve Cache Bug」対応としてリリースされた「Netscape Communicator 4.07」も含む JavaScriptが動くNetscapeブラウザのすべてのバージョンに影響を及ぼすセキュリティー・バグの情報「The Injection Bug」が、10月7日付けで公開されています。
しかし、この「Brumleve Cache Bug」以外にも、Netscapeブラウザで「JavaScript」に起因する新規のセキュリティー・バグが見つかっています。また、Netscapeブラウザだけかと思っていたら、「Internet Explorer」にも「JavaScript」に起因するセキュリティー・バグが新規に見つかった模様です。
いずれにしても、しばらくWebブラウザの「JavaScript」機能を、全て停止ですね。今日は、徹夜明けで頭がボ〜っとしています(^^;)ので、詳しい情報が集まり次第、フォローしていきます。
【98/10/07】「Brumleve Cache Bug」対応「Netscape Communicator 4.07」無力化
プログラマーのDan Brumleve氏から、「Brumleve Cache Bug」対応としてリリースされた「Netscape Communicator 4.07」も含む JavaScriptが動くNetscapeブラウザのすべてのバージョンに影響を及ぼすセキュリティー・バグの情報 「"Son of Cache-Cow" Netscape Vulnerability」 が10月5日付けで公開されています。(リンクを張っていませんが、安易にページ内リンクをクリックすると、色々な情報を引き出されてしまいます。)
引き続き、「Internet Explorer」は、対象外のようです。
サンプルとして、4つが公開されています。
■「cookie-monster.cgi」: 随意の場所からクッキーを盗む
■「file-list.cgi 」 : 対象者のハード・ディスクのローカル・ディレクトリのコンテンツ(構造)を盗む
■「file-list-old.cgi 」: Netscape 4.01でも動作するように手をいれたfile-list.cgiの別バージョン
■「cache-cow-4.07.cgi」: 「Netscape Communicator 4.07」(英語版)でも動作するようにした
お馴染みのURLのキャッシュを盗む「cache-cow」
私は、「Netscape Navigator 4.07」に早速アップグレード済みでしたが、見事に情報を引き出されました。Netscape Communications社の、面目丸潰れです。
回避方法は、前回とは異なり、JavaScript機能をオフに設定するしかありません。(もしくは、「Internet Explorer」を使用する?)
【98/10/08】追加情報 「Brumleve Cache Bug」対応「Netscape Communicator 4.07」無力化
CNET社の10月7日付けの関連(翻訳)記事「Navigatorにまたバグ」があります。
【98/10/06】「Brumleve Cache Bug」対応「Netscape Communicator 4.07」(英語版) 公開
Netscape Communications社から、この「モバイル虎の穴」で【98/09/29】に報告した、悪意のあるWebサイト運営者のページを訪れると、自分がどのサイトを見てきたかというURLのキャッシュを盗み見されてしまうというセキュリティー・バグである「Brumleve Cache Bug」に対応した「Netscape Communicator 4.07」(英語版)が「FTPサイト」で10月3日付けで公開されています。
セキュリティー・バグ対象は、JavaScriptが動く全てのバージョン・全てのプラットフォーム版の「Netscape navigator」と、「Netscape Communicator」ですが、Mac版,UNIX版,Windows版が公開されています。
詳しい報告がアップされる[Netscape Security Solutions]に注目です。
尚、CNET社の10月5日付けの関連翻訳記事「Netscape Navigator 4.07でバグ解消」があります。
【98/09/29】全てのプラットフォームに影響する「Netscape ブラウザ」のバグ公開
プログラマーのDan Brumleve氏から、悪意のあるWebサイト運営者のページを訪れると、自分がどのサイトを見てきたかというURLのキャッシュを盗み見されてしまうというセキュリティー・バグのデモを行う「Cache-Cow Strikes!」が公開されています。(安易にページ内リンクをクリックすると、URLのキャッシュを盗み見されてしまいます。)
対象は、JavaScriptが動く全てのバージョン・全てのプラットフォーム版の「Netscape navigator」と、「Netscape Communicator」です。また、「Netscape Communicator」に含まれるメールクライアント「Messenger」を利用している場合、Webペースのメールを送りつけられて、URLのキャッシュを盗み見されてしまう可能性もあります。 そして、URLにパスワード等を埋め込んで訪問者管理を行うWebサイトを訪問した後に、盗み見されると単なるプライバシーの問題以上のインパクトがあります。
但し、「Internet Explorer」は、対象外のようです。
また、この問題に対応する「バージョン4.07」が近々(今週中?)リリースされるようです。
回避方法は、JavaScript機能をオフに設定することか、Webブラウザのキャッシュサイズを「Preferences」の中で0に設定することですが、あんまりです。
尚、CNET社の9月28日付けの関連翻訳記事「閲覧履歴を暴露するNavigatorのバグ」があります。
【98/09/14】「Netscape Communicator 4.5 PR2」(英語版)公開
Netscape Communications社から、この「モバイル虎の穴」で【98/07/29】に報告した、長いファイル名(200文字以上)の添付ファイル付きのメールに関するセキュリティーホール「長いファイル名のメールに対するセキュリティ上の弱点」に明らかに対応した英語版の「Communicator 4.5 Preview Release 2(Windows 95、Windows 98、Windows NT版)」及び Mac版がFTPサイトで、9月11日付けで公開されています。
しかし、その一方で、「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」の日本語版が、FTPサイトで、9月11日付けで追加公開されています。
ちなみに、7月27日付けの「長いファイル名のメールに対するセキュリティ上の弱点」では、「Communicator 4.5 Preview Release 2(Windows 95、Windows 98、Windows NT版)」でセキュリティーホールに対応と読めますが、8月14日に更新されている英語情報の「Long Filename Mail Vulnerability」では、「Communicator 4.06」と、新版の「Netscape Communicator 4.5 Preview Release 1」(原文:new version of Communicator 4.5 Preview Release 1 )は、対応済みとなっています。さすがに、セキュリティーホールを含む日本語版は、さすがにリリースしないでしょう(^^;)から、たぶん今回公開された「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」の日本語版は、対応済みと思われます。
【98/09/10】「Netscape Communicator 4.06」日本語対応版公開
Netscape Communications社から、この「モバイル虎の穴」で【98/08/27】に「Netscape Communicator 4.06」日本語対応版は9月上旬にリリース予定と、報告した通り、「インターネットのリーディング・ブラウザの最新版、Netscape Communicator 4.06」がFTPサイトで、公開されています。
長いファイル名(200文字以上)の添付ファイル付きのメールに関するセキュリティーホールの対応「Long Filename Mail Vulnerability」と、Javaに関するセキュリティ・ホールの対応「ClassLoader Java Vulnerability」も、含んでいます。
しかし、長いファイル名(200文字以上)の添付ファイル付きのメールに関するセキュリティーホールは7月27日付けで公開され、「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」も対象ですが、問題に対応した「Communicator 4.5 Preview Release 2」は、なかなかリリースされませんね。
【98/08/27】「Netscape Communicator 4.06」日本語対応版は9月上旬にリリース予定
Netscape Communications社から、この「モバイル虎の穴」で【98/08/15】に報告した「Netscape Communicator 4.06」が、電子メール攻撃に対する修正、新しい Smart Browsing 機能、Java 開発者向けのJDK1.1 のサポートを含んだ新しいメンテナンス・リリースと説明する翻訳文「インターネットのリーディング・ブラウザの最新版、Netscape Communicator 4.06 の提供を開始」が公開されています。
また、日本語対応版は1998年9月上旬にリリース予定と、初めて明言されています。
【98/08/24】IEのJScriptによるセキュリティーホールに関する日本語の情報登場
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/08/19】に報告した、IEのJScriptによるセキュリティーホールに関する日本語の情報「Microsoft Internet Explorer 4 の 'Window.External' JScript 問題の修正プログラムがご利用になれます」が8月21日付けで公開されています。
でも、このページには同じく対象の「Windows 98」に関しては何も述べられていません。日本語版の修正プログラムが出来たら、「Windows 98」の'Window.External' JScript 問題の対応も分かりやすい所で広報をお願いします。
尚、話は変わりますが、CNET社の8月17日付けの関連翻訳記事に、ある特定の条件でコンピュータのカレンダーが狂ってしまうという「Win98に初めてのバグ」があります。それじゃ、今回の「Windows 98」の'Window.External' JScript 問題が、2つ目のバグかな? (^^;)
【98/08/20】スクープ! 「Netscape Communicator 4.06」は、やはりバグ対応バージョン
Netscape Communications社から、この「モバイル虎の穴」で【98/08/15】に報告した「Netscape Communicator 4.06」(英語版)が、【98/07/29】に報告した、長いファイル名(200文字以上)の添付ファイル付きのメールに関するセキュリティーホールの対応も含むと明示されているSecurity Update「Long Filename Mail Vulnerability」が8月14日付けで公開されています。
またこの「Netscape Communicator 4.06」は、この「モバイル虎の穴」で【98/07/20】に報告した、Javaに関するセキュリティ・ホールの対応も含むと明示されているSecurity Update「ClassLoader Java Vulnerability」が8月14日付けで公開されています。
尚、話は変わりますが、昨日報告したInternet ExplorerのJScriptによるセキュリティーホールに関する、CNET社の8月19日付けの関連翻訳記事「IEにバグ」があります。
【98/08/15】スクープ! 「Netscape Communicator 4.06」(英語版) やっぱりお盆のリリースだっ!
Netscape Communications社から、この「モバイル虎の穴」で【98/07/29】に報告した、電子メールソフトの重大なセキュリティーホールの対応も含むと思われる、「Netscape Communicator 4.06」(英語版)が「FTPサイト」で8月15日付けで公開されています。
18:30頃から公開が順次開始され、20:30現在(現地時間 15日4:30)、Mac版,UNIX版,Windows版の順に公開されています。(セキュリティーホールの対象は、「Netscape Communicator 4.0〜4.05(Windows 3.1, Windows 95、Windows 98、Windows NT版)」と、「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」です。)セキュリティーホール対応版と明言されていた「Communicator 4.5 Preview Release 2」は、現在リリースされていません。
詳しい報告がアップされる[Netscape Security Solutions]に注目です。
尚、この「モバイル虎の穴」で【97/08/17】に報告した、4.Xへバージョンアップ後初の「Netscape navigator」単体版公開のニュースも、他の一般ニュースサイトはお盆休みでしたので日本で一番速い報告となったようですが、何故か今回もお盆休みのリリースです。今度も一般ニュースサイトが休みですので、毎日更新中のこの「モバイル虎の穴」のスクープとなり嬉しいのですが、どうしてお盆休みなのか? 謎は深まります。(^^;)
(現地では早朝なので、当然[BrowserWatch]からも、まだ報告されていません。)
えっ、ダウンロードして詳しい評価をしないのか?ですって...今は月例の日経マルチメディアのモバイル講座&コラムの執筆でヒイヒイ言っている最中ですので、後回しにさせて下さい(^^;)
【98/07/29】電子メールソフトの重大なセキュリティーホール公開
Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-008)」「Update Available For Long Filename Security Issue affecting Microsoft Outlook 98 and Microsoft Outlook Express 4.x」が7月27日付けの更新で公開されています。
対象は、「『Outlook 98』(Windows 95、Windows 98、Windows NT版)」、「Internet Explorer 4.0、4.01、Service Pack 1適用版の4.01に含まれる『Outlook Express』(Windows 95、Windows 98、Windows NT版)」、「Internet Explorer 4.01に含まれる『Outlook Express』(Solaris版)」、「Internet Explorer 4.01に含まれるOutlook Express(Macintosh版)」です。
マイクロソフト製品に限らず各電子メールソフトが、非常に長いファイル名(200文字以上)の添付ファイル付きのメールを取り込み、その添付ファイルを、オープンあるいは起動しようと試みる際に、電子メールソフトがクラッシュする可能性があります。また、熟練している攻撃者(残念ながら原文では「a skilled hacker」 と記載されています)は、コンピュータで任意のコード(悪意あるプログラム)を走らせることが可能とされています。
これは、ファイルの添付に使用するMIME形式のヘッダーの長さをチェックしない「考慮漏れ」を悪用して、電子メールソフトにバッファ・オーバーフローを起こさせ、クラッシュもしくは、任意のコードを走らせる手口のようです。また、添付ファイル=悪意のあるプログラムではなく、添付ファイルは単なる画像ファイルやテキストの可能性があります。
この問題に対する『Outlook 98』(Windows 95、Windows 98、Windows NT版)のhotfixes(パッチ)は、「Drivers and Other Downloads」(英語情報、IEのみ閲覧可能)の「outpatch.exe」です。また、このパッチは、全言語版の『Outlook 98』(all language versions of Microsoft Outlook 98)に適用可能です。
次に、この問題に対するInternet Explorerに含まれる『Outlook Express』のhotfixes(パッチ)の提供状況説明は、「Fix available for Outlook Express File Attachment issue」にあります。ただ、現状では英語版のみです。
そして、この問題は、Netscape CommunicationsのCommunicatorに含まれる電子メールソフトも対象であり、Netscape Communications社から、「Long Filename Mail Vulnerability」が7月27日付けで公開されています。
対象は、「Netscape Communicator 4.0〜4.05(Windows 3.1, Windows 95、Windows 98、Windows NT版)」 と 「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」です。また、「Communicator 4.0x」のパッチは2週間以内にリリースされ、問題に対応した「Communicator 4.5 Preview Release 2」もリリースされます。
もし、このセキュリティ・ホールを利用した攻撃を受けた際にも、単に非常に長いファイル名(200文字以上)の添付ファイル付きのメールを、受信する(メールサーバの自分のメールボックスから取り出す)だけで悪意のあるプログラムが動き出す訳ではなく、やはり、何らかのアクション(非常に単純過ぎて恐いのですが..)が契機になります。その為、攻撃の回避は可能です。
(このあたりは、各ニュースサイトで微妙に見解が異なっていますね。)
『Outlook Express』に攻撃を受けた場合は、非常に長いファイル名(200文字以上)の添付ファイルを「クリック」せずに、「ファイルメニュー」から「Save Attachment」を選択してハードディスクに保存すれば、悪意のあるプログラムは動き出さないようです。また、ハードディスクに保存した添付ファイルは、閲覧してOKです。【「Update Available For Long Filename Security Issue affecting Microsoft Outlook 98 and Microsoft Outlook Express 4.x」の「Administrative workaround」の項を参照】
また、「Netscape Communicator」に攻撃を受けた場合は、非常に長いファイル名(200文字以上)の添付ファイル付きのメールを受け取り、そのメールを選択した後に、「ファイルメニュー」を操作しなければ、悪意のあるプログラムは動き出さないようです。また、添付ファイルはマウス右クリックの「Save Link As」コマンドを用いてハードディスクに保存し、オリジナルのメールを削除すればOKです。またその場合メールソフト終了時も、「ファイルメニュー」は操作してはならず、必ずウィンドウの右上の×ボタンを使用して終了する必要があります。尚、ハードディスクに保存した添付ファイルは、閲覧してOKです。【「Long Filename Mail Vulnerability」の「How to Avoid the Vulnerability」の項を参照】
(間違っているかもしれませんので、詳細は、各レポートをご覧下さい。)
理論的にこういうことが出来るよ!と報告されているレベルで、実際にアタック事例が出ている訳ではなさそうですので、あまり神経質になってメール使用を即停止する必要まではなく、こういうセキュリティ・ホールを利用した攻撃がありうると、まずは認識し注意する段階で良いのでは?と思います。しかし、今後ともこのセキュリティ・ホールに関する情報をウォッチし、速やかに適切なパッチを当てることや製品をレベルアップすることは必須です。また、見ず知らずの得体の知れない相手からのメールに注意することは、この件に限らず常識です。
尚、CNET社の7月28日付けの関連翻訳記事「電子メールソフトにセキュリティーホールが見つかる」や、ワイアード・ニュースの7月28日付けの関連翻訳記事「電子メールに危険なセキュリティ・ホール」、CIACの7月28日付けの警告レポート「I-077A: Mime Name Vulnerability in Outlook and Messenger」、日経インターネットテクノロジーの7月28日付けの関連記事「【速報】MicrosoftとNetscapeの電子メール・ソフトにセキュリティ・ホール」があります。
(追加情報【98/07/30】:CNET社の7月29日付けの関連翻訳記事「MSが公開したメールソフト用パッチに欠陥」が出ました。
【98/07/20】「Netscape Navigator 4.0x」のJavaに関するセキュリティ・ホール警告
プリンストン大学の「セキュアー・インターネット・プログラミング(SIP)」グループから、「Netscape Navigator 4.0x」のJavaプログラミング言語の一部のインプリメンテーションに問題がある為、ブラウザーのセキュリティー管理を無力化可能なセキュリティ・ホールを指摘する「Secure Internet Programming: History」が公開されています。最悪の結果として、ファイルの削除・変更、ウィルスでの汚染等、何でも可能になる問題のようです。
関連する製品は、「Netscape Navigator 4.0x」で、この「モバイル虎の穴」で【98/07/15】に報告した「Netscape Communicator 4.5 preview release 1」は対応済です。また、対象の「Netscape Navigator」の 4.01から4.05向けのパッチも、数週間以内リリース予定とのことです。
尚、CNET社の7月17日の関連(翻訳)記事「ナビゲーターにセキュリティーホール」があります。
【98/04/19】NC 「Netscape Communicator 4.05」公開(日本語版)
Netscape Communications社から、 また、この虎の穴で、【98/04/03】に紹介したメールアドレスやパスワードが盗まれる可能性があるセキュリティバグSECURITY UPDATE「Preferences bug」の対応等が行われた「Netscape Communicator 4.05」の日本語版の「Communicator 4.05 のダウンロード開始」が公開されています。Windows NT/95 版があります。また、早いJavaの作動、Cosmo 2.0 virtual reality 3D viewer などの新機能も加わっています。
【98/04/03】NC 「Netscape Communicator 5.0」のソースコードと、「Netscape Communicator 4.05」公開
Netscape Communications社から、この虎の穴で、【98/01/23】に紹介した「Netscape、次世代の Communicator のソース・コードをネット上で無償で提供する計画を発表」のアナウンス通りに、「Netscape Communicator 5.0」のソースコードを開発者向けに公開した「NETSCAPE ACCELERATES COMMUNICATOR EVOLUTION WITH FIRST RELEASE OF NEXT-GENERATION COMMUNICATOR SOURCE CODE TO DEVELOPER COMMUNITY VIA MOZILLA.ORG 」が3月31日付けで公開されています。また、関連情報として、ソースコードのライセンス条項「Netscape Public License(NPL)」の日本語版があります。
最初、実行可能な形式にコンパイルされているものを探しましたが、やはりソースしか見当たりません。それならば、なんとかツテを頼ってコンパイルしてもらうか?とも考えましたが、リリース文を良く見ると「the first developer release of its Communicator 5.0 source code」とあり、β版以前のレベルで、まだまだ常用にWebブラウザとして使用するには品質に問題が有りそうでしたので、断念しました。ちなみに、「Netscape Communicator」オリジナルブランドの一般利用者向けのバージョンは、今年末までにリリースされる模様です。尚、関連情報として、CNET社の翻訳記事「ネットスケープ、ついにソースコードを公開」が公開されています。
また、この虎の穴で、【98/02/19】に紹介したメールアドレスやパスワードが盗まれる可能性があるセキュリティバグSECURITY UPDATE「Preferences bug」の対応等が行われた「Netscape Communicator 4.05」が4月1日付けで公開されています。Windows版,Macintosh版,UNIX版,(OS2版)がそれぞれあります。また、スタンドアロン版の「Netscape navigator 4.05」もあります。これで、一安心です。尚、関連情報として、CNET社の翻訳記事「ネットスケープから最新コミュニケーター」が公開されています。
ちなみに、「Netscape Communicator 5.0」のソースコード公開の情報は4月1日に公開する予定でしたが、例の「April Fool's Day」企画?に為に、今日報告しています。「April Fool's Day」企画は、構想10分,作成2時間というもので、結構時間が掛かっています。忙しい時に限ってこういう事をやりたがるんですよね。(^^;) 各方面からも色々な反響を頂き、有り難うございました。(ナント!日立製作所の「SH4-Project」の方からも「笑えました〜。」とmailを頂きました)
【98/03/17】NC,NN セキュリティバグ「Preferences bug」対応延期
Netscape Communications社から、この「モバイル虎の穴」で【98/02/19】に報告したメールアドレスやパスワードが盗まれる可能性があるセキュリティバグSECURITY UPDATE「Preferences bug」の対応が、「next maintenance release」まで実質延期されることをアナウンスする「Netscape Security Solutions」が公開されています。当初の予定では、修正版のプライベート・ベータ・テストは、2月23日の週に開始される見込みでした。こうしたセキュリティバグ対応は、従来は速やかに行われてきたので、ちょっと心配です。ワイアード・ニュース・レポートの関連(翻訳)記事「アンドリーセン、ネットスケープ株25%を売却」等の動きに連動したものでなければよいのですが...。今日は38度の熱を出して会社を休んでおりますので、充分な調査が出来ていませんが、この件に関して何かありましたら、フォローしていきます。
【98/02/19】NC,NNメールアドレスやパスワードが盗まれる可能性がある「Preferences bug」情報公開
Netscape Communications社からインターネット・コンサルタントによって指摘されたメールアドレスやパスワードが盗まれる可能性があるセキュリティバグSECURITY UPDATE「Preferences bug」が2月17日付けで公開されています。ナント!全てのプラットフォームの「Netscape Navigator」と「Netscape Communicator」の 4.0〜4.04 が対象です。悪意があるWebサイト・オペレーターのWebサイトを訪れた際に、 「prefs.js」ファイルのパス名を推測されることによって、訪問ユーザーのハードディスクから「prefs.js」ファイルが読まれる可能があります。このファイルには、電子メールアドレス,ドメイン名,およびパスワード等の情報が含まれているとされています。(ちなみにメモ帳で開けますよ。私は「Netscape Communicator」のメール機能を使用していないせいか?パスワードはセットされていませんでした。)尚、対策はレポートに記載されていませんが、設定の詳細で「JavaScriptを有効にする」のチェックボタンを外せば防げるはずです。また、設定する修正版のプライベート・ベータ・テストは、2月23日の週に開始される見込みです。ちなみにネットスケープのセキュリティ関連情報は、「Netscape Security Solutions」に掲載されていきます。
【98/01/25】NN「Netscape Navigator 4.04」に「JavaScript」関連のちょっとした問題
Patrick Morris-Suzuki氏からWindows95上で動作する「Netscape Navigator 4.04」に対し、ある「JavaScript」が署名付きでないにも関わらずウィンドウ操作が出来てしまう問題をデモ付きで指摘する「Javascript Security Problem」が公開されています。ツールバーの削除や、ウィンドウ・クローズが可能ですが、あまり心配する必要は無いと思います。尚、関連記事にCNET社(1月20日付け)の「JavaScript bug in Navigator 4.04 」があります。
【98/01/23】Netscape社が日本語版も含めて「Netscape navigator」「Netscape Communicator」を即時フリー化!
Netscape Communications社からすべてのユーザーに対して「Netscape Navigator and Communicator Standard Edition 4.0」を、ただちにライセンス・フリー化する「NETSCAPE ANNOUNCES PLANS TO MAKE NEXT-GENERATION COMMUNICATOR SOURCE CODE AVAILABLE FREE ON THE NET」が1月22日付けで公開されています。また、1998年の第1四半期の終りまでに公開予定の「Netscape Communicator 5.0」開発者リリースからは、ナント! ソース・コードも公開されるそうです。これは、Netscape社がWebブラウザ依存体質からビジネスを転換出来た為とされています。(1996年第4四半期に売上の約45%がWebブラウザだったものを、1997年第4四半期には約13%に迄圧縮出来た)尚、日本語化されていない「Netscape Communicator Professional Edition」はUS$29です。同日、Microsoft社から「Microsoft and DOJ Reach Agreement on Compliance with Court Order 」が公開され、連邦地裁仮処分に対して、司法省からのリクエスト版(IEのアイコン、および閲覧ソフト等インターネットアクセス関連の一部のファイルを削除した形態。しかし、動作に関してはほぼ問題ないとされるバージョン。従来はIE関連を削除した結果、問題が発生するバージョンをリリースするとコメントしていた。)も追加したWindows 95がリリースされることが決まりました。Netscape社は、実に絶妙のタイミングで発表しましたね。
(追加情報【98/01/23】:日本語のプレスリリース文「Netscape、次世代の Communicator のソース・コードをネット上で無償で提供する計画を発表」が夕方公開されました。また、「NETSCAPE クライアント製品無償提供についてのQ&A集」もあります。今朝、一生懸命翻訳したんですけど、やっぱり日本語がいいですね。尚、関連記事(翻訳記事)にCNET社の「コミュニケーターが無料に」や「法廷侮辱罪でMSと司法省が和解」があります。
【98/01/11】NC「Netcaster期限切れ」問題修正公開(日本語版対応)
Netscape Communications社からWindows95 / NT対応版「Netcaster」の期限切れに対応した「期限切れ Netcaster に対応した Netscape Communicator 4.03の修正モジュールのダウンロード方法」が公開されています。尚、「Netscape Communicator」や「Netscape Navigator」は有償であり、正式ライセンスを持っていない人には、試用する目的での使用を許すもので、90日間を超えての試用は認められていません。もっとも「Netscape Navigator」はフリーソフトになるという噂もありますが...。
【97/12/15】NN「Java」動作バグ修正も含む「Netscape Navigator 4.04」公開(日本語版)
Netscape Communications社からFTPサイトよりダウンロード可能な形態で一部環境で「Java」がうまく動かないという不具合にも対応した単体版「Netscape Navigator 4.04」のナント日本語版「Netscape Navigator 4.04日本語版」のWindows 95/NT版が公開されています。いつもの通り、正式ではない公開形式であり、直ぐ削除される可能性もあるので、評価したい人は迷わずゲットしたほうが良いと思います。尚、8.7MB程度で「n32e404.exe」(英語版と全く同一の名称の為、注意が必要)というモジュール名です。
【97/11/12】NC「Java」動作バグ修正も含む「Netscape Communicator 4.04」公開(英語版のみ)
Netscape Communications社からFTPサイトよりダウンロード可能な形態で一部環境で「Java」がうまく動かないという不具合にも対応した「Netscape Communicator 4.04」Windows,unix版(英語版)が公開されています。尚、グラフィックフォーマット「PNG」への対応等がなされています。
【97/09/30】NC「The French Privacy Bug」情報公開
Netscape Communications社から「Netscape Communicator 4.03」で解決済みのセキュリティバグSECURITY UPDATE「The French Privacy Bug」が公開されています。「Netscape Navigator 2.x and 3.x」は影響を受けないようです。悪意のあるクラッカー(原文はハッカーとなっていますが..)のWebサイトを訪れた際に、「user's preference files(ユーザの設定)」の情報が漏れてしまう可能性があるというもので、ユーザのハードディスクの情報にアクセスするたぐいのものでは無いようです。ちなみにネットスケープのセキュリティ関連情報は、「Netscape Security Solutions」に掲載されていきます。
【97/09/06】NC「The Santa Barbara Privacy Bug」修正も含む「Netscape Communicator 4.03」公開(英語版のみ)
Netscape Communications社からFTPサイトよりダウンロード可能な形態で【97/08/31】にこのページでお知らせした「The Santa Barbara Privacy Bug」に対応した?バージョン「Netscape Communicator 4.03」Windows,Mac,unix版(英語版)が公開(現地時間:9/6 AM)されています。例のごとくWeb上では、何の告知もありませんが、少なくともバグの対象となっていたWindows版は、「The Santa Barbara Privacy Bug」対応バージョンであることは間違いないでしょう。Windows95版の「navigator_standalone」でも8MB強あります。尚、この報告も一般の他のニュースサイトが今日はお休みの為、Webサイトでは日本で一番早い報告のはず?です。使い込んだ状況は、また別途アップします。
【97/08/31】NC「The Santa Barbara Privacy Bug」情報公開
Netscape Communications社から「Netscape Communicator 4.02 for Windows」が影響を受ける新規セキュリティバグSECURITY UPDATE「The Santa Barbara Privacy Bug」が公開されています。MacやUnixバージョンの「Communicator 4.02」は影響を受けないようです。またパッチ(fix)は現在テスト中で、一週間程度で提供されそうです。詳細な内容は記載されていませんが、クラッカー(原文はハッカーとなっていますが..)のWebサイトを訪れた際に、ブラウジング時の情報が見られてしまうというもので、ユーザのハードディスクの情報にアクセスするたぐいのものでは無いようです。やはり、「JavaScript」や「Javaアプレット」がらみであることが予想される為、いずれにしても自分のブラウザの設定で「JavaScript」や「Javaアプレット」を無効にし自衛すべきでしょうね。
【97/07/31】NC「JavaScriptセキュリティバグ」修正も含む「Netscape Communicator4.01a」公開(日本語版)
Netscape Communications社からFTPサイトよりダウンロード可能な形態でWindows 95/NT用「Netscape Communicator4.01a」日本語版(【97/07/11】にこのページでお知らせしたNetscape NavigatorのJavaScriptセキュリティバグに対する修正版の日本語バージョン)が公開されています。当初、Netscape Communicator4.X系の日本語版のftpサイトでの公開は無いとの方針だったはずですが、一連のバグ対応の為に公開された?ようです。良い決断の例ですね。
【97/07/27】NC「The Singapore Privacy Bug」情報公開
Netscape Communications社からNetscape Communicatorの「LiveConnect」を利用した新たなセキュリティバグ「The Singapore Privacy Bug」が公開されています。利用者がどのURLを訪問するのか,利用者がHTMLのフォーム(パスワードを含む)に入れるデータ,及び利用者のクッキーファイルの中に置かれたデータが漏れてしまいます。修正されたNetscape Communicatorは、数週間で利用可能予定と案内されています。尚、Netscape Navigator 2.xと3.xは,このバグで影響を受けません。ちなみに、「LiveConnect」は、同一のHTMLページ中で「JavaScript」と「Javaアプレット」との連携を可能にする技術ですが、「Internet Explorer」は「LiveConnect」をサポートしていない?ので、関係無いのかな?
【97/07/18】NC「JavaScriptセキュリティバグ」修正も含む「Netscape Communicator4.01a」公開(英語版のみ)
Netscape Communications社から【97/07/11】にこのページでお知らせしたNetscape CommunicatorのJavaScriptセキュリティバグに対する修正版「Welcome to Netscape Communicator 4.01a for Windows」が公開されています。ダウンロード場所はここです。尚、日本語版のNetscape Communicator ver.4.01を日本一早く入手可能?なのは「Netscape Communicator ver.4.01 7月19日午前0時よりダウンロード販売開始」が公開されている「G-Search InterShop」でしょう。また、今回のJavaScriptセキュリティバグに対する「日本語版用バグフィックスモジュール」も追って公開されると思います。
【97/07/11】NC,IE「JavaScriptセキュリティバグ」情報
CERT/CCから一般利用者のWeb活動をモニターする(訪問したドキュメントのURLを観測する等)のを可能にするスクリプト言語のJavaScriptセキュリティバグ「JavaScript Vulnerability」が公開されています。対処方法は、この問題のためのブラウザのパッチ(もしくは対処版の製品)を入手するか、ブラウザでJavaScriptを無効にするしかないようです。Microsoft社はここで、Netscape Communications社はここで対応を公開しています。尚、昨日ご紹介した「Netscape Navigator 3.02」はこの件に対応済とのことです。まあ、JavaScriptを無効化しちゃえばOKですね。なんだか、ちょとのことでは、ビックリしなくなって明らかに感覚が麻痺しつつありますね。(実は、作戦だったりして...)
【97/07/10】NN(デンマークの)Internetコンサルタントによって報告されたバグ修正も含む「Netscape Navigator 3.02」公開(英語版のみ)
Netscape Communications社から【97/06/14】にこのページでお知らせしたNetscape Navigatorのセキュリティバグに対する修正版「Netscape Navigator 3.02(セキュリティバグ対応版)」が公開されています。Netscape Navigator 3.02は、全てのプラットフォーム(Windows,Macintosh,Unix)版がようやく揃っています。
【97/06/18】NC(デンマークの)Internetコンサルタントによって報告されたバグ修正も含む「Netscape Communicator 4.01」公開(英語版のみ)
Netscape Communications社から【97/06/14】にこのページでお知らせしたNetscape Communicatorのセキュリティバグに対する修正版「Welcome to Netscape Communicator 4.01 for Windows」が公開されています。ダウンロード場所はここです。約束通り、Netscape Communicatorの対応版から出荷開始です。修正内容に詳細はまだ不明ですが、また他のプラットフォームのものが残っていますので、順次公開されるでしょう。尚、「既知の問題」も併せて公開されています。
【97/06/14】NC,NN(デンマークの)Internetコンサルタントによって報告されたバグ情報
Netscape Communications社から「asahi.com」の「サンノゼマーキュリーニューズダイジェスト」でも報じられているNetscape Navigatorのセキュリティバグに関する情報「SECURITY UPDATE」が公開されています。ナント!(デンマークの)Internetコンサルタントによって報告されたバグ(Netscape Navigatorでアクセスしたユーザのコンピュータのファイルを、悪意があるWebサーバから読み取れる)は全てのプラットフォーム(Windows,Macintosh,Unix)のNetscape Navigator 2.0/3.0,及びNetscape Communicator(4.0)に影響するとのことです。但し、6月16日の週にCommunicator(4.0)用の修正フィックス(パッチ?)をリリースし、Navigator 3.0用はその後にリリースされるとのこと。Netscape社は、このバグに関していかなる顧客事故も報告されなかったと言っています。また、修正フィックスがリリースされるまでの回避方法(警告ダイアログボックスの表示?)もこのページで説明してあります。
(「asahi.com」の「サンノゼマーキュリーニューズダイジェスト」が報じている「脅迫」行為があったのかは、疑問もありますが....)
*Netscape Navigator 3.0の当面の回避方法(日本語メニューに対応させました。英語版の方は原文を確認して下さい):「オプション」メニューに行って,「セキュリティの設定」を選択します。警告ダイアログボックスを可能にする為に,「全般」の「保護なしでフォームを提出するとき」のチェックボックスを選択します。
*Netscape Navigator 4.0の当面の回避方法:「Security Advisor」を開くように,ツールバーでアイコンを選択します。警告ダイアログボックスを可能にする為に,「Navigator」を選択し、「SendingUnencrypted Information to a Site」のチェックボックスを選択します。
【Winセキュリティ虎の穴】へ戻る
このページに関するご意見ご感想は山下 眞一郎(E-mail:yama@bears.ad.jp)までどうぞ。
All Rights Reserved, Copyright Fujitsu Minami-Kyusyu Systems Engineering Limited 1996.