《記事番号:38》 2016-05-25 13:52:54
最近の、別の記事を探す
【タイトル】
共用SSLサーバは危ない 1/2
【キーワード】
共用SSLサーバ,危険,共用SSL,共有SSL,SSL,IFRAME,javascript
【内容】
共用SSLの危険に関する、高木浩光さんの約6年前の記事を見つけました。「共用SSLサーバの危険性が理解されていない」です。
実際にやってみました。共用SSLはhttps://ss1.xrea.com/を使用。www.pc462.comのデモ用フォームをpc46z.s602.xrea.comから
IFRAMEで表示して、デモ用フォームに入力しているつもりのユーザーから情報を盗むという想定です。
https://ss1.xrea.com/pc46z.s602.xrea.com/tp.htmを出す契機はメールからの釣り上げとかwww.pc462.comサイトの改ざんなどです。
javascript:alert(foo.document.body.innerText)は上記記事そのまま利用しています。今回、IFRAMEのonLoadにそれを入れました。ちなみにIFRAMEのonLoadはうまくいく時、いかない時があるようです。
入力が正常に完了した確認画面のデータも、そのまま読み取れます。
3枚目の画像、見ただけでは何もわかりません。画面の裏側でマウスオーバーしたブロックの番号をサーバーに送り、そのブロックに存在する画像の名前をダウンロードして表示する仕掛けになっています。IFRAMEのonLoadをalertからこの処理に変えれば、操作する人間には全く気付かれずに、偽サイトに情報を送れます。
更新日 2016-05-25
パソコンのセキュリティ関連リンク
IPAのサイトリニューアルに伴い、旧リンク先がなくなったので、新たに知っておくと良さそう記事をリンクしておきます。
【1】
情報セキュリティ10大脅威 2024
【2】
遠隔操作ソフト(アプリ)を悪用される手口に気をつけて!
「
脆弱性の種類別件数」など
開発者の参考になるリンクを追加します。
【3】
脆弱性対策情報データベースJVN iPediaの登録状況 [2023年第3四半期(7月〜9月)]
動画を全画面で見て、戻る時はESCキーをいつも使ってますが、いきなり偽セキュリティ警告を全画面で出されるとパニックするかも。体験サイトは一度触った方がいいでしょう。
音量だけは気を付けましょう(絞るかミュートで)。
【4】
偽セキュリティ警告(サポート詐欺)対策特集ページ更新日 2024-01-24ブラウザ、Adobe製品などの最新バージョン
最新バージョンへの移行を勧めるものではありません。自分のパソコンのブラウザがどういう状態か確認するためのメモです。日付はリリース日でなく、自分のパソコンで確認した日付です。
Windows用の最新バージョンです。
2024/3/23現在
Firefox 最新版公開
【 Edge 】
ちょっと触ると「応答なし」を頻発。写真の多いエンタメ系のページでは、高速にスクロールするとフリーズ。などなど問題多発で使えないので、使用をやめます。 22/9/27
【 Firefox 】手動更新
2024/3/23現在
124.0.1
【 Adobe Acrobat Reader DC 】自動更新
2024/2/14現在
2023.008.20533
更新日 2024-03-23
マイクロソフトのCVEとKBの関係
IPAで
Microsoft 製品の脆弱性の記事(例:2023年7月)がアップされると、Windws Updateの更新履歴が成功だけを見ても安心できず、CVEとKBの関係を調べてみました。
CVE-2023-36884の緩和策(修正情報、KBなし)は手に負えないので後回し。
CVE-2023-35311(Outlook 2016 のセキュリティ更新プログラム)は既に別記事「
Office更新の確認方法」でアップしています。
マイクロソフトのCVEページのURL例(35311)です。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
下5桁を変えれば、複数CVEを連続して見れます。
このページの中で自分が使っている「製品」を探し、私の場合は「Windows 10 Home 22H2・・・」の「Article」をクリックするとKBが分かります。冒頭IPAの3つのCVEとKBの関係を以下に。
CVE-2023-32046 2023年7月11日 —
KB5028166 (OS ビルド 19044.3208 および 19045.3208)
CVE-2023-32049 2023年7月11日 —
KB5028166 (OS ビルド 19044.3208 および 19045.3208)
CVE-2023-36874 2023年7月11日 —
KB5028166 (OS ビルド 19044.3208 および 19045.3208)
この3つのCVEは全てKB5028166で対策です。
Windws Updateの更新履歴にKB番号が入っていたのを初めて知りました。問題なしでした。
更新日 2023-07-28Office更新の確認方法
Officeの更新はWindows Updateでは入りません。当り前ですね。Officeも合わせて更新したければ、Microsoft updateです。
私はWindows Updateの日にOutlook2016から
ファイル>Office アカウント>更新オプション>今すぐ更新
を実行しています。
私が使っているのは、Microsoft® Outlook® 2016 MSO (バージョン 2306 ビルド 16.0.16529.20100) 32 ビット です。以下のKBはこのバージョンに対する番号です。
CVE-2023-35311【Outlook 2016 のセキュリティ更新プログラムについて: 2023 年 7 月 11 日 (KB5002427)】
KB5002427がパソコンに入っているか、コマンドプロンプトに「systeminfo」を打ち込んでみましたが、見つけることが出来ません。systeminfoはWindows Updateで取り込んだ物しか表示されないのか?他の方法で状況を確認する。
ファイル>Office アカウント>更新オプション>更新プログラムの表示
「現在のチャネルのリリース ノート」ページ
「セキュリティ更新プログラムの一覧はこちら」をクリック
https://learn.microsoft.com/ja-jp/officeupdates/microsoft365-apps-security-updates
ページ内に-----------------
2023 年 7 月 11 日
現在のチャネル: バージョン 2306 (ビルド 16529.20182)
---------------------------
パソコンに戻り
ファイル>Office アカウント>Outlookのバージョン情報 2306 (ビルド 16529.20182 クイック実行)
最新バージョンになっているので、CVE-2023-35311は解決されているのか?
更新日 2023-07-20
OFFICE自動更新の状況確認方法
Officeの自動更新は既定の設定では週に3回あります。更新が公開されたと知った時に、ここの記事を参考に更新状況を確認してください。
最新の状況は以下のページから分かります。本文中の冒頭に
このページを定期的に見てとの文言があるので、単なるブックマークを見る方法で問題なしです。
Office 365 クライアント更新プログラムのチャネル リリース
自分のパソコンがどういう状態か確認するのは(
例、Outlook)
outlook2016>ファイル>officeアカウント>
で出てくる画面(画像を添付します)の赤線の上を見てください。これが最新の状態になっていれば、問題なしです。
【17/10/17追記】
このページはWindows updateが公開されて、数日経たないと情報が最新になりません。今月の例で言うと、Windows update公開後、数日は10月以降がグレーアウトしたページが出ていました。
【17/10/21追記】
せっかちの私は自動更新を待っていられないので、ダウンロードしてインストールしたら、上記ページのバージョンを追い抜いてしまいました。調べたら、以下のページを発見。どういうタイミングで更新されるかは不明です。ご参考です。
更新プログラム チャネル リリースのバージョン番号とビルド番号
更新日 2017-10-21 Windows8.1から10へのアップグレード―完了
Windows8.1から10へのアップグレードが
完了しました。と言っても、OS名とパスワードを使うサイトのGoogle chromeからの表示(パスワードを覚えているか確認)、メール(Outlook 2013)の受信、Excelの起動とプリンタへの印刷だけを確認しています。
インストールメディアを使用して、クリーンインストールする計画でしたが、いきなり挫折。富士通ノートパソコンですが、
ONE TIME BOOT MENU(USBからブートするための画面)が出ません。電源投入後ロゴが出たタイミングでF12を押しても、パソコンが起動していない状態で「サポート(Support)」ボタンを押してもだめです。
インストールメディアを作った画面に行き、
メディアを作らず即アップグレードに切り替えようかと思いましたが・・
これから先は、真似しないでください。普通に8.1が上がっている状態でインストールメディアの中のsetup.exeを起動してみました。Windows10のセットアップが始まりました。
クリーンインストールに備えバックアップを取っていましたが、
ファイルを残すを選べたので、残しました。
「更新プログラムをダウンロードしています」が始まったら接続を切ろうと言う記事を見つけ、ルータの切断画面を他のパソコンで準備していましたが、これも
更新プログラム(と他2個)のダウンロードをスキップする事が出来たので、そのまま進めました。時間は2,3時間かかりましたが、特に不明な現象はなく終わりました。
私の見た画面は「メディアを作らず即アップグレード」の画面だったのかな?
2023/02/24追記
計画通りに進みませんでしたが、計画に従って準備した内容を別ページに抜き出しました。別ページは
こちらから
更新日 2023-02-24