金利0無利息キャッシング – キャッシングできます

2014-09-04

Mailbox for Macで添付ファイル経由でローカルファイルを盗み出せる問題を報告した

00:01 | Mailbox for Macで添付ファイル経由でローカルファイルを盗み出せる問題を報告した - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - Mailbox for Macで添付ファイル経由でローカルファイルを盗み出せる問題を報告した - 金利0無利息キャッシング – キャッシングできます

Dropboxの開発してるメールクライアントのMailboxのMacbeta版の脆弱性を報告しました。

iOS版にあった問題

過去にiOS用のMailboxで、HTMLメール内のJavaScriptが実行可能という問題があり

その時にはサーバー側のフィルタの抜け穴があったのを見つけて、HTMLメール内のJavaScriptからメールのデータベースファイルにアクセスして受信したメール全部ぶっこ抜くことが可能だという実証コードを送りつけました。その結果、Dropboxの容量が100GB増えた。

Mac版にあった問題

添付ファイルに com.apple.quarantine という拡張属性が付いていないという問題があり、悪意のある添付ファイルを開く(ワンクリックで確認なしで開く状態でした)ことによって危険なことが起きうる状態でした。

特にSafariを標準ブラウザにしている場合、確認なしでHTMLファイルを開かれることは非常に危険です。HTMLファイルからローカルファイルを読み出すことが出来ます。

Safariの現状の挙動は com.apple.quarantine がついていればGoogle Chrome相当の制限されたsame originを持つというものですが、com.apple.quarantineが付いていなければ、依然としてローカルファイルを読み放題というものです。Safariを標準ブラウザとして使っている場合、HTMLファイルを開いて安全かどうかは、ネット上からHTMLファイルを受信する性質のあるアプリケーションcom.apple.quarantine 属性を付けてくれるかどうかに依存します。(他のブラウザでもローカルのユーザー名がバレる程度のことは起きます)

いつもはssh秘密鍵を盗むものをPoCとして使っているのですが、Firefoxパスワードを盗み出すものを書いてみました。

まとめ

全てのアプリcom.apple.quarantine 付けてくれるの期待できないからSafari使うのやめろ

BeckyBecky 2016/05/02 06:35 Pin my tail and call me a doynke, that really helped.

KlondikeKlondike 2016/05/03 00:08 Totes McGoats man. Thanks for the comment and I agree. You really can’t overdo it when it comes to making yourself feel and behave more <a href="http://agkvkpuaamk.com">cotnndefily.In</a> fact, if you forget to work on your confidence, it will start to dissipate.

EstherEsther 2016/05/03 09:01 Do any of you know a site that has unlimited pc games, that is, ANY game. for e.x. roller coaster tycoon. thats just an example. and the site has games that you can download online the full version. like a whole database or a-z list of ANY game? if so, please tell me. I would be gladly appreciated. th2x;xxna30x. http://annqmyzu.com [url=http://mexrhh.com]mexrhh[/url] [link=http://nphwweyceg.com]nphwweyceg[/link]

NashNash 2016/05/04 15:11 18 juin 2012I’m so happy to read this. This is the kind of manual that needs to be given and not the accidental <a href="http://sfctgzmy.com">mifsoinrmation</a> that is at the other blogs. Appreciate your sharing this best doc.  

ゲスト



トラックバック - http://subtech.g.hatena.ne.jp/mala/20140904