セキュリティホールについてNo.05387
taku さん 02/06/04 11:03
 

Windows版PostPetに、添付ファイルが強制起動されるセキュリティホール
があるという情報を知りましたが、

このセキュリティホールの問題点は、

> この問題の原因は、メールを受信しただけで添付ファイルが展開され、その展
> 開場所が、固定のパス名のフォルダ(第三者に場所を予測されるフォルダ)と
> なっている点にあります。

とのことで、

鶴亀の場合、受信ファイルの格納先は、アカウント名およびメール受信日&
添付ファイル数などで固定にはならないため、まず問題にはならないと
思っていますが、

Mozilla もセキュリティ上の対策として、ユーザホームのディレクトリパス
にランダム文字列を加えているらしいので、
もしかすると、鶴亀にもこういった対応が必要なのではないかと…


秀まるおさんはどうお考えでしょうか?

情報元:
http://memo.st.ryukoku.ac.jp/archive/200205.month/3953.html
[ ]
RE:05387 セキュリティホールについてNo.05388
秀まるお さん 02/06/04 11:26
 
 鶴亀メールの場合はフォルダパスにアカウント名も日付も(場合によってはさらに
番号も)入るので、そこから特定の添付ファイルを実行させることはほとんど不可能
に近いと思います。特にアカウント名はほとんどみんなバラバラなので、少なくとも
鶴亀メールユーザー全員を対象とした攻撃は不可能だし、特定のユーザーをねらうに
しても、アカウント名をうまく当てることは困難かと思います。

 ということで特に対応は必要無いと考えます。

 セキュリティホールと言う訳じゃないですけど、対応した方がいいと思っているこ
とは1つあります。KLEZの亜種がいろいろ出てますが、その中に、ハードディスク上
の「.txt」ファイルをすべてスキャンし、メールアドレスを拾ってウィルス自身をば
らまく物があるそうです。

 ということは、鶴亀メールの保存しているメール用ファイルが全部ねらわれてしま
います。

 これをなんとかするためには、拡張子を.txtじゃなくするというのも手ですが、将
来別の亜種が出たらいっしょなので、やはり何か簡単な暗号化か、せめて「@」を別
の文字に置き換えるなどのエンコードをかけてやる必要があるかと思います。

 何かご意見ありましたらよろしくお願いします。
[ ]
RE:05388 セキュリティホールについてNo.05389
ひろ さん 02/06/04 12:38
 
 秀まるおさん今日は、ひろです。
>  これをなんとかするためには、拡張子を.txtじゃなくするというのも手ですが、将
> 来別の亜種が出たらいっしょ
 こういったプログラムって、特定の拡張子を対照にしますよね。それなら
逆手にとって、ダブルクリックなどでもアクセスしにくい、拡張子無しのファ
イルをデフォルトにしてしまっては如何でしょうか? 現在は設定で省略する
こともできないんですよね。またメール・ボックスに関しては拡張子を変更
できるので自己防衛できますが、アドレスの固まりである、AdrBook.txt と
filter.txt の変更ができないのが残念です。

> 何か簡単な暗号化か、せめて「@」を別
> の文字に置き換えるなどのエンコードをかけてやる必要があるかと思います。
 全く簡単ではありませんが、他のことで要望がでている PGP に対応して、
暗号化もこれで遣るという手も有るかと思います。
[ ]
RE:05389 セキュリティホールについてNo.05390
秀まるお さん 02/06/04 16:36
 
>逆手にとって、ダブルクリックなどでもアクセスしにくい、拡張子無しのファ
>イルをデフォルトにしてしまっては如何でしょうか?

 しいて変更するならそういう形になると思いますが、…

>アドレスの固まりである、AdrBook.txt と
>filter.txt の変更ができないのが残念です。

 肝心のAdrBook.txtのファイル名がそのままではダメですね。

 ということで、しいてやるなら「@」を何か別の文字に置き換える等の対策を考え
たいと思います。

> 全く簡単ではありませんが、他のことで要望がでている PGP に対応して、
>暗号化もこれで遣るという手も有るかと思います。

 PGPの場合はカギが無いと暗号化も暗号解除も出来ないのであまりにも危険です。
(カギを無くしたらおしまい)

 単純なウィルス対策用(感染後対策用)なら、とにかく「@」を無くしさえすれば
いいはずです。
[ ]
RE:05390 セキュリティホールについてNo.05391
ひろ さん 02/06/04 16:51
 
 秀まるおさん今日は、ひろです。
>  単純なウィルス対策用(感染後対策用)なら、とにかく「@」を無くしさえすれば
> いいはずです。
 何のために「@」と書いているのか解っていませんでした(^^;。確かにアド
レスを除外すればよいので、「@」を別の文字で置き換えるだけでも効果があ
りますね。
[ ]
RE:05390 セキュリティホールについてNo.05392
ひろ さん 02/06/05 00:54
 
 秀まるおさん今日は、ひろです。
>  ということで、しいてやるなら「@」を何か別の文字に置き換える等の対策を考え
> たいと思います。
 実際にどうするかはともかく、意見の追加です。
 もしこの様に書式を変更するということであれば、「,」を「\x1B」に置き
換えずに通常の CSV ファイルと同様に「"」で括るといった仕様変更もされ
れば、今後移行する方が楽になると思います。
[ ]
RE:05392 セキュリティホールについてNo.05394
秀まるお さん 02/06/05 09:49
 
> もしこの様に書式を変更するということであれば、「,」を「\x1B」に置き
>換えずに通常の CSV ファイルと同様に「"」で括るといった仕様変更もされ
>れば、今後移行する方が楽になると思います。

 実はCSV形式のそういう仕様を知らずに今の\x1Bで置き換えをやってしまいました。
勉強不足でした。

 「@」の置き換えについては特に強い要望も無いようなので、今の所はやらないで
おきます。
[ ]
RE:05394 セキュリティホールについてNo.05396
ひろ さん 02/06/05 12:39
 
 秀まるおさん今日は、ひろです。
>  「@」の置き換えについては特に強い要望も無いようなので、今の所はやらないで
> おきます。
 了解しました。
 そもそも鶴亀を使っていれば、ウイルスに感染しにくいので、それ程深刻
ではないのかもしれませんね。

>  肝心のAdrBook.txtのファイル名がそのままではダメですね。
 こちらについて更に気がついた事があります。
http://www.maruo.co.jp/hidesoft/8/m011205.html#4319 にて
> > しかし最近、AL-mailやDaturaは外部アドレス帳の設定が出来て複数のアドレス帳
> >を共有PCに置いておき複数ユーザでの共有が出来る事を知りました。
>
>  とりあえず要望リストに入れておきます。今すぐ対応するのはやめておきます。
というお返事をいただいています。この要望が実現されるときに、
AdrBook.txt や filter.txt についても *.bin 以外の任意のファイルを指定
可能にして頂くと、ちょっとは安全性が高まると思います。
 ちなみに共有アドレス帳は、Winbiff にもあります。ぱっと見たところ
Becky! に無さそうなのが以外。
[ ]