Computer Terrorismは、Internet Explorer(IE)のJavaScriptのonLoadイベントでWindow()関数を処理する方法の脆弱性により、リモートで任意のコードが実行可能であることを報告し、同時に実証コードを公開した。この脆弱性は、2005年5月28日にBenjamin
Tobias Franz氏が報告したもので、当時はIEをハングアップさせるだけであるとしていた。今回、リモートでコードが実行されることが明らかになったことから、危険性が高まっている。
・Computer Terrorism(Internet Explorer JavaScript Window() Remote Code Execution):
http://www.computerterrorism.com/research/ie/ct21-11-2005
・FrSIRT(Microsoft Internet Explorer "window()" Code Execution Vulnerability):
http://www.frsirt.com/english/advisories/2005/2509
DA Labで、Computer Terrorismのレポートにリンクされている実証コード(脆弱性を突いて、ローカルでCalc.exeを実行するというもの)の実行を試したところ、Windows
2000+IE 6 SP1ではCalc.exeが実行された。Windows 2000+IE 5.5 SP2、Windows XP SP1a+IE 6 SP1、Windows
XP SP2では、IEが途中でハングアップしてCalc.exeは実行されなかった。環境によって、実行結果は異なる可能性があるが、少なくてもWindows 2000+IE
6 SP1では、リモートで任意のコードが実行可能であることを確認した。
実証コードは、Calc.exeを実行するだけだが、このコードを悪用することで、トロイの木馬などを仕掛けることも可能だろう。Webページにアクセスするだけで攻撃が仕掛けられることから、非常に危険な脆弱性といえる。なおマイクロソフトは実証コードが公開されたこと受けて、セキュリティ・アドバイザリをリリースしている。しかし修正プログラムの提供予定などについては記載されていない。修正プログラムが提供されるまで、IEでアクティブ・スクリプトの実行などを無効する、ほかのWebブラウザを利用する、といった回避策をおすすめする。
・セキュリティ・アドバイザリ 911302(Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される):http://www.microsoft.com/japan/technet/security/advisory/911302.mspx
・FrSIRT(Microsoft Internet Explorer "Window()" Remote Code Execution
Exploit (0day)):
http://www.frsirt.com/exploits/20051121.IEWindow0day.php
|