Title:

インターネット エクスプローラの「FTPサイト用フォルダ ビュー」がスクリプトを実行する
脆弱性

Date:

7 June 2002 (Last modified: )

Author:

Eiji James Yoshida [zaddik@geocities.co.jp]
penetration technique research site [Advisories]

Risk:

Medium

Vulnerable:

Windows2000 SP2 IE5.5SP1
Windows2000 SP2 IE5.5SP2
Windows2000 SP2 IE6.0

Bugtraq ID:

4954

Patch:

Windows2000 SP3 (Q316890)
* Q316890が削除されていることを8月7日に確認。

Overview:

インターネット エクスプローラ(IE)の「FTPサイト用フォルダ ビュー」には
アドレスとして与えられたスクリプトを実行する脆弱性があります。

IEの詳細設定にあるオプション「FTPサイト用のフォルダ ビューを使用する」と
フォルダ オプション「フォルダでWebコンテンツを使う」が選択されていると、
「FTPサイト用フォルダ ビュー」はアドレスとして与えられたスクリプトを実行して
しまいます。

* スクリプトは「マイ コンピュータ」ゾーンで実行されます。

初期設定では「FTPサイト用のフォルダ ビューを使用する」と「フォルダでWeb
コンテンツを使う
」が設定されているので脆弱です。

この脆弱性を悪用されると、「インターネット」ゾーンなどに施された設定を回避されて
しまいます。その結果、ゾーンの設定で対処していた問題(例:クリップボードのデータ
奪取)等と組み合わされて、対処済みの脆弱性が再び脅威となる可能性があります。

 

Details:

この脆弱性は「FTPサイト用フォルダ ビュー」が呼び出すFTP.HTTに原因があります。
( %SystemRoot%\WEB\FTP.HTT )

--------------------FTP.HTT--------------------
35:    <BASE href="%THISDIRPATH%\">
-----------------------------------------------

この '%THISDIRPATH%' に入力される値をサニタイジングしてないことが原因です。

(例 1)
[ ftp://TARGET ]
    '%THISDIRPATH%' = 'ftp://TARGET/'
    <BASE href="ftp://TARGET/\">

(例 2)
[ ftp://"><script>alert("Exploit");</script> ]
    '%THISDIRPATH%' = 'ftp://"><script>alert("Exploit");</script>/'
    <BASE href="ftp://"><script>alert("Exploit");</script>/\">

 

Exploit code:

<a href="ftp://%22%3e%3cscript%3ealert(%22Exploit%22)%3b%3c%2fscript%3e%20" target="_blank">Exploit</a>

Demonstration:

Exploit_1 [screen shot]
Exploit_2 [screen shot]

Workaround:

IEの詳細設定にあるオプション「FTPサイト用のフォルダ ビューを使用する」のチェックを
外してください。もしくは、フォルダ オプションで「従来のWindowsフォルダを使う」を選択
することで回避できます。

Vendor status:

Microsoft Security Response Centerには2001年12月22日に報告しましたが、半年も経過して未だに調査中として情報を公開しませんでした。対応が遅すぎると言わざるを得ないので、対策も含めた情報公開をPTRSから行うことにしました。

またMicrosoft Security Response Centerに報告するにあたって、英文の報告しか受け付けて貰えませんでした。日本人で脆弱性を発見する人すべてが英語を話せるわけでは無いので、マイクロソフトの日本法人に日本語での報告を受け付ける体制を早急に整えて頂きたいです。

Similar vulnerabilities:

Mozilla FTP View Cross-Site Scripting Vulnerability

Opera FTP View Cross-Site Scripting Vulnerability

 Copyright(c) 2002 Eiji James Yoshida. All rights reserved