金利0無利息キャッシング – キャッシングできます

Skype for Macの脆弱性についての見解と見識

16:25 |

まず最初にSkype for Macを使ってるユーザーは自動アップデートした方がいいです。(2.x系列は影響を受けないとのことだけど2.x系列に未公開で深刻なバグがある可能性もあるしそこら辺は知らない)

MSに買収されるだの何だのの少し前に話題になったSkype for Macの脆弱性について

• http://www.purehacking.com/blogs/gordon-maddern/skype-0day-vulnerabilitiy-discovered-by-pure-hacking
• http://secniche.blogspot.com/2011/05/skype-im-mac-os-x-is-this-0day.html

多分同じバグを俺も報告したよ、というセキュリティ研究者が何人か居るようで、チャット経由で任意のJavaScriptコードを実行可能な部分については既にブログに書いていたりする人がいるので、俺も書くことにする。

「細工を施したチャットメッセージ経由で攻撃が可能で5.1.0.922で直っている」という点で共通してるけど、pure hackingが報告したバグと同じものかどうかは分からない。俺は「shellを乗っ取り可能」というような実証コードを作ってないので実際に出来るのかどうか分からない、が、そういったことが出来る可能性について否定しない。少なくともローカルファイルを盗み出すことが出来る。

• バグはSkype for Macの5.x系列で、かなり以前からあったようだ。
• 複数のセキュリティ研究者が同時期に報告しているようだった。
• これはWebアプリケーションのXSSの実証リンクをSkypeチャットでやり取りしていてHTMLがぶっこわれるのを目撃するという経路だと思われる。
• 悪用を試みるような人も脆弱性の詳細について既に把握しているだろう

自分が報告した経緯

• scriptが実行出来るということを知ったのは3月23日で、その時はあんまり気にしていなかった http://gyazo.com/59be5fb4ec0bfa895583b8298bd2f005.png
• 4月7日ぐらいに再現条件と影響範囲について調べていて、file://で動いていることを確認した。
• 外部リソースの読み込みが制限されていないことを確認して、ローカルファイルを読み込んで外部サーバーに送れることを確認した。
• セキュリティ上の問題だと判断して、Skypeのセキュリティ窓口っぽいメールアドレスに報告したのが4月8日(日本語と英語で書いた)
  • ローカルファイルを盗み出すexploitコードを作ってメールの文面に書いた
• 返事が来ないので(公開メールアドレスだとspam判定されてるかも知れないので)Skype日本法人の人を捕まえて話を聞いたりしたのが4月11日
  • その少し後ぐらいにメールでも返事が来た(セキュリティ担当者から)

• 4/14 にhotfixとして修正バージョンが出た http://blogs.skype.com/garage/2011/04/skype_51_for_mac_hotfix.html
• NDA書類にサインしてSkypeのベータテスターの権限をもらった
  • その際に「リリース済みバージョンのバグについて言及することはNDAによって妨げられない」とのことを確認した
• 4/21 自動アップデートされないようなのでTwitterで注意喚起した http://twitter.com/bulkneets/status/60951447344394240
• 4/25 Skypeのバージョンアップが浸透するまで問題の詳細について書くのを控えることにしたので、WebKit側の問題について先に書いた
  • ローカルファイル読み取りの問題 http://subtech.g.hatena.ne.jp/mala/20110425/1303730089

見解

• HTML+JavaScriptで書かれていたり、ブラウザコンポーネントを組み込んだローカルアプリが非常に多くなっている
• ローカルアプリにおいてXSSっぽい問題が発生することがある。自動リンク処理がバグってるとかTwitterでみたことあるような問題だ。
• ローカルアプリにおいてのXSSっぽい問題があった場合の影響度は、実装によってまちまちなんだけど、Webアプリよりもまずいことが出来る可能性を疑ったほうがいい
  • サンドボックス内で実行されてれば単にHTMLをぶっ壊せたり、ブラクラが出来るという話になる
  • Skypeの場合、file://で動いていて、JavaScriptによってローカルファイルを読みだして外部サーバーに送ることが出来た
  • Skypeのチャットウィンドウ内で定義されてる関数によっては、より危険なことが出来る可能性がある

• shell乗っ取り可能？ wormのように広まる可能性はあるか？
• 俺は任意のshellコマンドが実行可能になることは確認してない(というかちゃんと試していない)
  • ただ、チャットウィンドウ内で定義されている、jQueryと、いくつかのSkypeの機能は、JavaScriptから呼び出せるだろう
  • Skype内のJavaScriptから「このURLをopenコマンドに渡せ」という処理が実行できたら、多分任意のコマンドが実行出来る
  • 例えばURLをブラウザで開く際にopenコマンドを使っていたりするだろうから、任意の引数をopenコマンドに渡せればコマンド実行になる。
• 「root権限」と書いていたブログやニュースサイトがあったのだけど、それは多分間違いだろう。せいぜい実行ユーザー権限だと思われる。

自動アップデートのタイミング問題

Skypeの人に聞いたこと

• セキュリティFixとして告知されるかどうか、自動アップデートが提供されるかどうかについては「globalな判断基準がある」とのこと

俺が把握してること

• Hotfixでは http://blogs.skype.com/garage/2011/04/skype_51_for_mac_hotfix.html 全てのユーザーにアップデートを推奨すると書きつつ「Minor bug fixes」でセキュリティ上の問題であるとは告知されなかった
• Hotfixはしばらく自動アップデートとしては提供されなかった、脆弱性の存在が公表されて少しの間922への自動アップデートが提供された
  • その後すぐに5.1.0.935がリリースされた
• 4/14以降は、手動でダウンロードした場合は、Hotfixの5.1.0.922がダウンロードされる状態になっていた
• 最新版へのリンクが差し替わってるけど、自動アップデートの定義ファイルに書いてある最新バージョンの値が別という状況になっていた
• このため古いバージョンから自動アップデートを試みた場合20MBほどダウンロードしてから「想定されているバージョンと違うSkypeがダウンロードされた」とエラーが出てアップデートに失敗するという無駄トラフィックが発生する状況になっていた
• リリースノート(developer.skype.com/MacSkype) が非公開になってBlogにリダイレクトされるようになった。

見解としては

• 自動アップデートを提供してもバージョンアップしないユーザーがいることは理解できる
• まあ多分、Skype側で「どのバージョンがどれぐらい繋いでいるのか」については把握してるのだろう。
  • セキュリティfixとして告知することは、攻撃方法を広く知らせてしまうことにも繋がる
• 悪用された報告は受けていないという表現がよく使われるのだけど「JavaScriptを使ってチャットウィンドウ内のHTMLを任意に改変できる」つまり攻撃を受けたという痕跡を隠すことが出来る
  • 攻撃者が慎重であれば被害を受けたことには気付くことが出来ないし、ユーザーから報告があることを期待しないほうが良いと思う
• 十分にテストされてから自動アップデートを提供する、という主旨のポリシーであれば理解できる、どうせ最新版にも何らかのバグはある
• 誰も言及しなかった場合に、5.1.0.935の自動アップデートはセキュリティfixを含む、と告知されていたかどうかは疑問である

ついでに、Skype for Macのテーマについての注意喚起

チャット経由で任意のJavaScriptを送り込むというバグについては直ってるように思われるのだけど、テーマファイルを使ってチャットウィンドウがどこで動いているのかを確認してみたところ、相変わらず file:// で動いていることを確認した。

この「テーマ」はチャットの内容を思いっきり外部のサーバーに送信して翻訳するということを平然とやってますね。

• http://tyasunao.blogspot.com/2011/03/skype-for-mac_9806.html
• http://tyasunao.blogspot.com/search/label/Skype

• 見た目を変更するための「テーマ」だと思っていたら大間違いで、安心して使うことは出来ない。
• 配布されているテーマをインストールする際にそういった警告が出るかどうか確認してみたが、全くそういった警告はない。

これを「テーマ」という名前で表現するには、強力すぎると思う。Skype for Macのテーマをインストールする大多数のユーザーは、単に見た目を変更するためのもので、任意のJavaScriptコードが実行可能だとは思っていないだろう。俺は個別のテーマについて、ワザワザ安全かどうかの検証をしてくれるような人なんかいないから、判断できないなら一切使わないほうがいい、と警告する。悪意のあるテーマをインストール(して使用するように設定)した場合、ローカルファイルやチャット内容を盗み出すことが出来るだろう。