「このまま黙って見てればキヌガワさんの隠しテクバンバン公開されるんじゃね?」と思ってしまったあなた、今すぐ脆弱性"&'<<>\ Advent Calendar 2016に登録して何か書きましょう。
さて、自社で取り扱っている製品をセキュアにしようという
まずFireEyeのETPを見てみたところ、隔離されたメールを表示するページの検索機能でSelf-XSSを発見しました。
報告したところ、管理者のみ?見れるAPTページにも同様のXSSがあり、何故か優先度Highで修正されました。
次にトレンドマイクロのWorry-Free Business Securityという製品でXSSを見つけました。
https://wfbs-svc.trendmicro.com/wfbs-svc/intl/en/view/lockout_page?date=%3Cscript%3Ealert(document.domain)%3C/script%3E
修正後見に行ったところ、DuckDuckGoみたいにタグがあったら消す修正方法だったので、不完全なタグを入れることで再度XSS出来ました。ちなみに管理者に踏ませると企業内の各PCのPC名、ローカルIP、パターンファイル情報などが抜き取れました。
最近ではGoogleのProject Zeroにより、アンチウィルスなどのセキュリティ製品が実は危ないということが分かってきました。以下は主要アンチウィルスの脆弱性を次々に見つけたTavisさんのツイート。
「どのアンチウィルスを使えばいいか良く聞かれるが、アンチウィルスは問題を解決する以上に生み出すよ」
I get asked constantly what av to use. You're missing the point; av creates more problems than it solves, and we're overdue an av slammer.— Tavis Ormandy (@taviso) 2016年3月12日
またKasperskyが独自のセキュアなOSを開発したニュースについてProject Zeroのメンバーから「そのOSにアイツらの糞みたいなアンチウィルスじゃなくてWindows Defender入れられるの?」という質問も飛び出しています。
The real question is, can I get Windows Defender on it rather than their shitty AV?https://t.co/bkqlppECVo— James Forshaw (@tiraniddo) 2016年11月21日
この問題の証明として、Tavisさんはアンチウィルスのゼロデイが実際に買われているとツイートしています。
@VessOnSecurity @johndzban @Jindroush You were talking as if you knew about this topic. How about this https://t.co/dvgbb14DA1— Tavis Ormandy (@taviso) 2016年11月25日
アンチウィルスは権限が高いにも関わらず、設計や開発がボロボロらしいです。ということで、標的型攻撃の際はアンチウィルスが守ってくれるのではなく攻撃に使われることを想定しましょう。また日本でアンチウィルスを入れるべきか否かなどの議論がおきてくれると有り難いです。
ではでは。
0 件のコメント:
コメントを投稿