Berend-Jan Wever氏のセキュリティ関連のメーリング・リストへの投稿(Michal Zalewski氏がBugtraqに転載)によると、Internet
Explorer(IE)による<IFRAME>と<FRAME>タグの処理にバッファ・オーバーフローの脆弱性が存在する。<IFRAME>と<FRAME>タグの中のSRC/NAME属性に長い文字列を持つ引数が付けられると、バッファ・オーバーフローが発生し、任意のコードが実行される危険性がある。この脆弱性を検証したセキュリティ・ベンダのSecuniaの報告によれば、脆弱性の影響を受けるのは、Windows
XP SP1上のIE 6 SP1とWindows 2000上のIE 6 SP1であるという。Windows XP SP2(IE 6 SP2)は影響を受けない。
・Bugtraq(MSIE <IFRAME> and <FRAME> tag NAME property bufferoverflow
PoC exploit (was: python does mangleme (with IE bugs!)) (fwd)):
http://www.securityfocus.com/archive/1/380175
・Secunia(Internet Explorer IFRAME Buffer Overflow Vulnerability):
http://secunia.com/advisories/12959/
この脆弱性を悪用したWebサイトやHTMLメールを開くだけで、自動的にプログラムがダウンロードされ、実行される危険性がある。公開された実証コードを使ってDA
Labで確認したところ、日本語環境のWindows 2000とWindows XP SP1上のIE 6 SP1でも脆弱性の影響を受けた。Windows 2000+IE
5.5 SP2やFirefoxでは、IFRAME内に「ページを表示できません」というエラーが表示され、脆弱性の影響を受けないことも確認した。
現在のところマイクロソフトからこの脆弱性に対する修正プログラムや報告はない。すでにこの脆弱性を悪用したウイルス(MyDoomの亜種)が登場しており、各ウイルス対策ベンダが検出している。至急、ウイルス対策ソフトウェアのデータベースを最新に更新し、感染を防止していただきたい。またUS-CERTの報告によれば、アクティブ・スクリプト(ActiveXやJavaScript)を無効化することで、攻撃を緩和可能であるとしている。非常に危険な状態となっているので、IEの設定を変更することを検討していただきたい。
・シマンテック(W32.Mydoom.AH@mm):
http://www.symantec.co.jp/region/jp/avcenter/venc/data/
jp-w32.mydoom.ah@mm.html
・Symantec(W32.Mydoom.AI@mm):
http://securityresponse.symantec.com/avcenter/venc/data/
w32.mydoom.ai@mm.html
・トレンドマイクロ(WORM_MYDOOM.AH):
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=WORM_MYDOOM.AH
・マカフィー(W32/Mydoom.ag@MM):
http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom.ag@MM
・マカフィー(W32/Mydoom.ah@MM):
http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom.ah@MM
・US-CERT Vulnerability Note VU#842160(Microsoft Internet Explorer vulnerable
to buffer overflow via FRAME and IFRAME elements):
http://www.kb.cert.org/vuls/id/842160
|