CVE

CVE-2019-8075

2015年に報告した、Flashを使ってcross originで応答サイズやリダイレクト有無が判定できる問題

修正に時間がかかると聞いていて、途中挙動がいくつか変わって、送ったPoCがクラッシュするようになったりした。

CORSを考慮するような包括的な対応が行われたのだと思う、多分。

2019年にクレジットどうするかのメールが来ていたけど気づかずにスルーしていた。

CVE-2018-0691

プラスメッセージアプリにおける証明書検証不備

CVE-2016-5552

Java/OpenJDK の URL Parserにおいてhost名を誤認する問題

Androidにも影響、cveは同じ

多くのURLパーサの実装で共通の問題があった、PHP, cURL

CVE-2011-4969

CSSセレクタを意図して書かれたコードでHTMLが生成されてXSSが起きる問題 $(location.hash) などが典型的な事例

\s+< で始まらない限りタグ生成よりもCSSセレクタと判別するように優先順序の変更を提案して、取り込まれた

著名サイトで大量にXSSがある状態だった。バージョンアップによって減少していった。

Safari

CVE-2016-4591

web worker内でlocation変数が不変になっていない問題

location変数をチェックした上で実行するJSONPや類似の手法によるクロスドメイン通信処理があった場合、それを迂回されてしまう恐れがあった。ただし、実際にそういった制限を行う処理はあまり普及していない。

CVE-2016-1786

リダイレクト処理をキャッシュした場合にURL表示がおかしい

バージョンによってはキャッシュのoriginもおかしく、キャッシュ済みのコンテンツを外部サイトから読み取り可能だった

試しにFirefox iOSにバグ報告してみたが、報奨金の対象外になった(アプリ自身のコードではないため)

ただし、すべてのアプリが影響を受けるとは限らず、キャッシュ処理を自前でハンドリングしているアプリは影響を受けないこともあった。

CVE-2015-5655

PartyTrackという広告効果測定用のSDKで通信APIの非公開メソッドを使用していた

意図としてはおそらく、SDKが行う通信処理でhttpsの証明書検証を行わないようにするというものだった

しかし、NSURLConnectionを使った通信全般の設定を変更する処理だったためSDK以外の通信、つまりアプリ本体の行うhttp通信全般が証明書検証処理を行わない状態になるというものだった。

大手アプリにもいくつか採用されており、いくつかパスワードを中間者攻撃によって取得可能なものがあることを確認した。これらは別途IPAに報告した。

リリースノートにはこういうふうに書かれていたとのこと。

code:

2015-03-30

- Version 1.6.6

- do not skip ssl check in NSURLRequest

https通信を使うかどうかの設定自体をhttpで受信するため、httpsを利用しない設定に変更することが可能だというもの

httpで受信したhtmlをwebviewで表示する処理があったため、古いAndroidを使っている場合は、Android組み込みWebView自体の脆弱性によって任意コード実行を行うことが可能だった。

CVE-2012-2399

SWFUploadに脆弱性があり、WordPressのforkにも修正不備が残っていた問題。

著名なOSSへの報告でCVEついてないのも割とたくさん

Movable Type

Plack

jsライブラリ結構たくさん

flashのビデオプレイヤー系