このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 

更新日:2004/11/17


不具合ならびに追加情報

情報の種類 セキュリティ番号 タイトル
脆弱性 −/− IEのステータス・バーを偽装する手口が次々と公開
追加 −/− IEの<IFRAME>/<FRAME>タグの脆弱性を悪用するウイルスが次々と登場
脆弱性 −/− Finjan SoftwareがWindows XP SP2に10種類の脆弱性が存在すると報告
脆弱性 −/− Norton AntiVirus Auto-Protectアラート通知の脆弱性により、サービス拒否が発生する危険性
不具合 −/− そのほかの不具合情報
 
[脆弱性情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
IEのステータス・バーを偽装する手口が次々と公開
情報ソース roozbeh afrasiabi氏(Bugtraq)、http-equiv氏(Bugtraq)
情報の内容 IEのステータス・バーの偽装
条件 IEの利用
報告日 2004年11月11日

 セキュリティ関連メーリング・リストのBugtraqにおいて、Internet Explorer(IE)のステータス・バーを偽装する手口が次々と報告されている。ステータス・バーの偽装は、フィッシングなどに悪用される危険性が高い。

■roozbeh afrasiabi氏が報告した脆弱性
 1つは、roozbeh afrasiabi氏が報告しているFlashを利用したものだ。

・Bugtraq(roozbeh afrasiabi氏 Re: New URL spoofing bug in Microsoft Internet Explorer):
http://www.securityfocus.com/archive/1/380649

 Flash(link.swf)の画像にリンクを埋め込むことで、画像をクリックするとFlash内で指定したリンク先へジャンプする。Flash自体に、<A HREF=http://www.yahoo.com >などとしてリンクを設定しておくことで、ステータス・バーに表示されるURLが偽装できる。この手法は、2004/11/03日配信のHotFix Weeklyの「Internet ExplorerでURLの偽装を可能にする脆弱性」で取り上げた「http-equiv氏が報告した脆弱性」の変形ともいえるもので、今後も同様の手口が開発される可能性がある。

 公開されている実証コードをDA Labで実行したところ、IE 6 SP1などでURLの偽装が可能であることを確認した。Firefox 1.0では、画像上にマウス・カーソルを移動させると、カーソルの位置によって偽装したURLが表示された。この手法は、IE以外でも偽装される可能性がありそうだ。

■http-equiv氏が報告した脆弱性
 2つ目は、http-equiv氏が新たな手法を報告している。Office Web Componentsを利用したExcelのスプレッド・シートをWebページ上に作成することで、ステータス・バーを偽装可能であるとしている。

・Bugtraq(http-equiv氏 Re: New URL spoofing bug in Microsoft Internet Explorer):
http://www.securityfocus.com/archive/1/380899

 Office Web Componentsは、Web上に発行されたワークシートやグラフ、データベースの表示や制御を可能にするMicrosoft Officeのアドイン・ツールである。Office Web Componentsがインストールされていない場合は、Webページ上にURLが表示されず(表示できないオブジェクトの×が表示される)、リンクをクリックしてもページのジャンプは行われなかった。なおOffice Web Componentsは、Officeがなくても単独でインストール可能である。Office 2003アドインのOffice Web Componentsをインストールした環境で、http-equiv氏の実証コードを実行したところ、ステータス・バーの偽装が可能になったことを確認した。

・ダウンロード・センター(Office 2003 アドイン: Office Web Components):
http://www.microsoft.com/downloads/details.aspx?
FamilyID=7287252c-402e-4f72-97a5-e0fd290d4b76&displaylang=ja

 この手法によるステータス・バーの偽装には、Office Web Componentsがインストールされていることが条件となるため、広くこの手法を悪用することは難しそうだ。しかし、これまでの手法とは大きくことなるものであるため、さらに改良されることで新たな手口として普及する危険性もある。URLの偽装については、引き続き注意が必要だ。

情報の対象:
 Internet Explorer
関連HotFix Report BBS関連スレッド:
・[脆弱性]IEのタスクバーにURI詐称を許す脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=1894
   
[追加情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
IEの<IFRAME>/<FRAME>タグの脆弱性を悪用するウイルスが次々と登場
情報ソース シマンテック、トレンドマイクロ、マカフィーなど
情報の内容 <IFRAME>/<FRAME>タグの脆弱性を悪用するウイルスの登場
条件 IEの利用
報告日 2004年11月10日

 ウイルス対策ソフトウェア・ベンダ各社は、Internet Explorer(IE)の<IFRAME>/<FRAME>タグの脆弱性を悪用するウイルスが次々と登場していることを警告している。これらのウイルスは、<IFRAME>と<FRAME>タグの中のSRC/NAME属性に長い文字列を持つ引数が付けられると、バッファ・オーバーフローが発生し、任意のコードが実行できるという脆弱性を悪用する。

・HotFix Weekly 2004/11/10日付(IE 6が<IFRAME>と<FRAME>タグを適切に処理できない脆弱性により、任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2004/news04-1110.html#01

 最初は、MyDoomの亜種で悪用が発見されたが、その後、新たなウイルスにも悪用が見つかっている。現在のところ、マイクロソフトからは、この脆弱性に対する報告や修正プログラムの提供がないため、さらに悪用が広がる危険性がある。すでにウイルス対策ソフトウェアの対応は行われているが、最新のパターン・ファイルを適用していない場合は、次々と登場している亜種に感染する可能性があるので注意したい。また、マカフィーでは同社の駆除ツール「Stinger」で、この脆弱性を悪用するMyDoomの駆除に対応したとしている。感染した可能性がある場合は、Stingerを実行してみるとよいだろう。

・マカフィー(AVERTウイルス駆除ツール:Stinger(スティンガー)):
http://www.mcafeesecurity.com/japan/security/stinger.asp

 なおウイルス対策ベンダによっては、<IFRAME>/<FRAME>タグの脆弱性を悪用したウイルスの名前を「BOFRA」に変更している。今後もこの脆弱性を悪用したウイルスの新種、亜種が次々と登場することが予想されるため、ウイルス対策ソフトウェアのパターン・ファイルの更新は必ずこまめに行うこと。特にオフラインで利用されることが多いノートPCでは、パターン・ファイルの更新が間に合わず、ウイルスに感染してしまう危険性があるので注意したい。

ベンダ名 ウイルス名
シマンテック W32.Bofra.E@mm
シマンテック W32.Mydoom.AH@mm
シマンテック W32.Mydoom.AI@mm
シマンテック W32.Mydoom.AJ@mm
シマンテック W32.Mydoom.AK@mm
シマンテック Trojan.Moo.B
マカフィー W32/Mydoom.ag@MM
マカフィー W32/Mydoom.ah@MM
トレンドマイクロ WORM_MYDOOM.AH
トレンドマイクロ WORM_MYDOOM.AG
トレンドマイクロ JS_SHEXPLOIT.A
Trend Micro WORM_BOFRA.C
Trend Micro WORM_BOFRA.B
<IFRAME>/<FRAME>タグの脆弱性を悪用する主要なウイルス一覧
情報の対象:
 Internet Explorer
   
[脆弱性情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Finjan SoftwareがWindows XP SP2に10種類の脆弱性が存在すると報告
情報ソース Finjan Software
情報の内容 Windows XP SP2の脆弱性
条件 Windows XP SP2の利用
報告日 2004年11月10日

 セキュリティ・ベンダのFinjan Softwareは、Windows XP SP2に10種類の脆弱性が存在することを発見したと報告している。Finjan Softwareは、これらの脆弱性についての技術情報をMicrosoftに提供し、解決に協力しているとしており、詳細については修正プログラムが提供されるまで公開しないと述べている。ただ、これらの脆弱性の中には、ユーザーのローカル・ファイルにリモートでアクセスできたり、Internet Explorerでダウンロードしたファイルの権限を昇格させて実行できたりするものが含まれるとしている。またWindows XP SP2の警告メカニズムをバイパスして、ダウンロードした実行ファイルが何の警告も出さずに実行される、という非常に危険な脆弱性も存在するようだ。

・Finjan Software(Finjan Software Warns of Ten New Vulnerabilities in Windows XP SP2):
http://www.finjan.com/company/NewsRoom/press_show.asp?press_release_id=165

 この件に関して、マイクロソフトからの正式な報告はない。しかしCNETなどに掲載されたマイクロソフトのコメントによれば、「Finjan Softwareの報告は、多くは誇張や誤りである」としている。Finjan Softwareが技術的な詳細や実証コードなどを一般提供していないため、脆弱性の有無についての検証は行えないが、何らかの脆弱性が存在することは明らかなようだ。

 脆弱性に関する詳細な情報が公開されていないため、すぐに攻撃が行われる危険性は低いと思われる。しかし攻撃者が別に脆弱性を発見し、ウイルスなどに悪用することも考えられる。修正プログラムが提供されるまで、危険な状態が続くことになるので、Windows XP SP2であっても運用に注意するようにしたい。

情報の対象:
 Windows XP SP2
関連HotFix Report BBS関連スレッド:
・XP SP2に10個のセキュリティ・ホールが見つかる
http://bbs.hotfix.jp/ShowPost.aspx?PostID=1864
   
[脆弱性情報]
 
HotFix Alert:
 
セキュリティ番号:
 
サポート技術情報:
Norton AntiVirus Auto-Protectアラート通知の脆弱性により、サービス拒否が発生する危険性
情報ソース シマンテック
情報の内容 アラート通知の脆弱性により、サービス拒否が発生
条件 Norton AntiVirusの利用
報告日 2004年11月10日

 シマンテックは、2004年10月15日付けでBugtraqにDaniel Milisic氏が投稿した「Norton AntiVirus」にサービス拒否が発生する危険性が存在するという指摘について調査結果を発表した。

 Daniel Milisic氏の投稿によれば、悪質なVBSスクリプトを実行することで、Auto-Protect機能を停止させることが可能であるとしていた。しかしシマンテックの調査結果によれば、投稿されたスクリプトによって、Norton AntiVirusの「Auto-Protectのユーザーに通知する機能」は無効化されるものの、Auto-Protect自体は引き続き動作しており、悪質なコードがステム上のファイルに書き込まれたり、実行されたりすることはない、という。

・シマンテック( Symantec Norton AntiVirus Auto-Protect アラート通知の脆弱性により、限定的なサービス拒否が発生する):
http://www.symantec.com/region/jp/sarcj/security/content/2004.11.10.html

・Bugtraq Daniel Milisic氏(Norton AntiVirus 2004 Script Blocking Failure (Includes PoC and rant)):
http://www.securityfocus.com/archive/1/378520

 シマンテックでは、「リスクが軽微な問題ではあるものの、製品のセキュリティ面および機能面を重視し、現在、製品エンジニアが本件に対応する代替手段の調査を進めている」としている。またNorton AntiVirus 2005に対しては、この不具合を解消する修正プログラムの提供を開始している(「How to get the Symantec Norton AntiVirus Auto-Protect Alert Notification Limited Denial of Service Update」のページからダウンロード可能。ただし日本語版に適用可能かは明確に記述されていない)。

・Symantec(How to get the Symantec Norton AntiVirus Auto-Protect Alert Notification Limited Denial of Service Update):
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2004111013091839

情報の対象:
Windows XP SP未適用/SP1/SP1a
   

■そのほかの不具合/追加情報

・サポート技術情報 888925(マイクロソフト セキュリティ情報 MS04-032 に記載されているセキュリティ更新プログラムを適用後 Computer Associates Unicenter Software Delivery でエラーが発生することがある):[Windows XP]
http://support.microsoft.com/default.aspx?scid=kb;ja;888925

・サポート技術情報 889889(マイネットワーク上でコンピューターの項目が「不明」と表示される):[Windows XP SP未適用/SP1/SP1a]
http://support.microsoft.com/default.aspx?scid=kb;ja;889889

・ダウンロード・センター(Windows Installer 3.0 Redistributable - 日本語):[Windows 2000 SP3/SP4][Windows XP SP未適用/SP1/SP1a][Windows Server 2003]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=5fbc5470-b259-4733-a914-a956122e08e8&DisplayLang=ja

・ダウンロード・センター(Exchange 2003 用 更新プログラム (KB883543)):[Exchange Server 2003 SP1][Windows 2000 Server][Windows Server 2003]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=5f1bab2d-1096-416c-bc5c-1fa19739dbb7&DisplayLang=ja

・ダウンロード・センター(Update for Microsoft Windows Server 2003 (KB883646) - 日本語):[Windows Server 2003 SP0]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=b69906a8-fe5b-4350-976b-864e2c40b01c&DisplayLang=ja

※ストレージ用デバイスドライバStorport.sysを更新する修正プログラム

・ダウンロード・センター(Office XP 入力システム更新プログラム: KB832668 (2004 年 11 月 10 日)):[Office XP SP2/SP3][Windows 2000][Windows NT 4.0]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=3489d806-be63-4253-9120-5e5a2d81dfa9&DisplayLang=ja
※Windows 2000で既定のIMEに設定できない不具合を解消する修正プログラム

・ダウンロード・センター(Office 2003 更新プログラム: 入力システムの拡張 (KB870774)):[Office 2003 SP0/SP1][Windows 2000]
http://www.microsoft.com/downloads/details.aspx?
FamilyID=72a315f4-5ff7-435e-884f-2853b5e8ab35&DisplayLang=ja

※Office 2003のIME関連の不具合を解消するための修正プログラム

 

・HotFix Report マイクロソフト・サイト更新情報(テスト運用中):
http://www.hotfix.jp/msupdate/mssite/index.html

 

UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。
HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。このメールに関する問い合わせ先
info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。