Microsoftなどは、2005/11/23日付け配信のHotFix Weeklyで既報の「Internet ExplorerのJavaScriptにリモートでコードを実行可能にする脆弱性」を悪用した攻撃を確認したことを報告した。Internet Explorer（IE）で攻撃用コードが仕掛けられたWebサイトへアクセスすると、JavaScriptのonLoadイベントでWindow（）関数を処理する方法の脆弱性を悪用し、ユーザーの操作なしにトロイの木馬「Win32/Delf.DH」をユーザーのコンピュータにダウンロードされてしまう。

・HotFix Weekly 2005/11/23日付け配信（Internet ExplorerのJavaScriptにリモートでコードを実行可能にする脆弱性）：
http://www.hotfix.jp/archives/alert/2005/news05-1123.html#01

・Microsoft（Malicious Software Encyclopedia: TrojanDownloader:Win32/Delf.DH）：
http://www.microsoft.com/security/encyclopedia/details.aspx?
name=TrojanDownloader:Win32/Delf.DH

　現時点では、マイクロソフトからこの脆弱性を解消するための修正プログラムは提供されていない。マイクロソフトでは、セキュリティ・アドバイザリを修正し、現在ベータ版で公開している「Windows Live Safety Center」のウイルス駆除機能が、Win32/Delf.DHに対応し、「Full Service Scan」−「Complete scan」を実行することで駆除可能であることを追加した。

・セキュリティ・アドバイザリ 911302（Internet Explorer の不適切な Document Object Model オブジェクトの処理方法による脆弱性のため、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/advisory/911302.mspx

・Microsoft（Windows Live Safety Center）：
http://safety.live.com/

　今後、同様の攻撃サイトが登場することが予想される。修正プログラムが提供されるまで、IEのセキュリティ設定でスクリプトの実行を無効化するなどの回避策を実施した方がよい。

関連HotFix Report BBS関連スレッド：
・IEのJavaScriptにコード実行を可能にする脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=4322

■MS05-051に新たな実証コードが公開
　Swan氏は、MS05-051で報告された「MSDTCの脆弱性（CAN-2005-2119）」に対する実証コードを公開した。MSDTCの脆弱性に対する実証コードは、2005/11/30日付け配信のHotFix Weeklyで既報のとおり、すでに公開されている。今回の実証コードは、これとは異なるものだが、ネットワーク経由で対象コンピュータを攻撃することにより、サービス拒否を引き起こす点は同じだ。

・HotFix Weekly 2005/11/30日付け配信（MS05-051の脆弱性に対する実証コードが公開）：
http://www.hotfix.jp/archives/alert/2005/news05-1130.html#01

・FrSIRT（ Microsoft Windows Distributed Transaction Coordinator Remote Exploit (MS05-051)）：
http://www.frsirt.com/exploits/20051201.MS05-051msdtc.cpp.php

・HotFix Alert MS05-051（COM+のメモリ処理の脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-051.html

・TechNetセキュリティ情報 MS05-051（MSDTC および COM+ の脆弱性により、リモートでコードが実行される）：
http://www.microsoft.com/japan/technet/security/Bulletin/MS05-051.mspx

■MS05-053の脆弱性を検証する画像ファイルを作成する実証コードが公開
　Winny Thomas氏は、MS05-053で報告された「Windows Metafile（WMF）の脆弱性（CAN-2005-2124）」に対する2種類の実証コードを公開した。実証コードを実行すると、脆弱性を確認可能な画像ファイル（WMFファイル）が作成される。一方の実証コードで作成された画像ファイルは、Explorerで開くと、Explorerが異常終了する。もう一方の実証コードで作成された画像ファイルは、Internet Explorerで開くと、CPU占有率が100％になるというものだ。

・FrSIRT（Microsoft Windows Metafile (WMF) Image Handling Remote Exploit (MS05-053)）：
http://www.frsirt.com/exploits/20051129.MS05-053.c.php

・FrSIRT（Microsoft Windows Metafile (WMF) "mtNoObjects" Header Remote Exploit (MS05-053)）：
http://www.frsirt.com/exploits/20051130.MS05-053.c.php

・HotFix Alert MS05-053（Graphics Rendering Engineの未チェック・バッファの脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-053.html

・TechNetセキュリティ情報 MS05-053（Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある）：
http://www.microsoft.com/japan/technet/security/Bulletin/MS05-053.mspx

　これらの実証コードは、任意のコードを実行するものではない。しかし、MS05-053に対する実証コードが公開されたことから、このコードを悪用して任意のコードが実行可能な攻撃コードが開発されることが懸念される。MS05-053の修正プログラムを適用していない場合は、至急、適用作業を行った方がよい。

関連HotFix Report BBS関連スレッド：
・MS05-053 の脆弱性を突く画像とエクスプロイット コードが公開
http://bbs.hotfix.jp/ShowPost.aspx?PostID=4348#4348