ITmedia NEWS >

「MSのパッチは不十分」――専門家が実証コード公開

» 2004年07月07日 07時47分 公開
[IDG Japan]
IDG

 Microsoftは先日、「Download.Ject」攻撃を食い止める目的で脆弱性修正パッチをリリースしたが、セキュリティ専門家の話では、この脆弱性に関連した別の危険な脆弱性には対応できていないという。

 オランダのセキュリティ専門家エルマー・クペルス氏が先日Webに公開したコードは、Download.Ject攻撃に若干手を加えたバージョンを使って、完全にパッチが当てられたWindowsシステムに侵入できると称している。この攻撃は、Microsoftが7月2日リリースしたパッチで対応したのとは別のWindowsコンポーネントのセキュリティホールを突いている。同様の攻撃を使えば、パッチが当てられたWindowsシステムでも侵入することができてしまうとクペルス氏は言う。

 Microsoftは6日、脆弱性実証コードの存在を知っていることは認めたが、この「Shell.Application」の脆弱性を使って顧客が攻撃を受けたとは考えていないと、広報担当者は話した。

 同社がDownload.Ject攻撃に対応して先日リリースしたセキュリティアップデートは、「ADODB.Stream」というWindowsのコンポーネントの機能を停止させるもの。ロシアの犯罪組織Hangup TeamはADODB.Streamを利用してコンピュータに不正コードを仕掛けたと伝えられていた。

 しかし、別のWindows ActiveXコンポーネントであるShell.Applicationを攻撃すれば、攻撃者がマシンに不正コードを仕掛けることが可能だ。この攻撃は、「http-equiv」のハンドル名で知られるセキュリティ専門家が1月に発見・公開したShell.Applicationの脆弱性を突いたものだと、クペルス氏は解説する。

 クペルス氏はこれを実証する目的で、自身が管理しているWebサイトにShell.Applicationコンポーネントの脆弱性を突いた攻撃コードのコピーを掲載した。Windows XPとIEを併用しているユーザーがこのページを訪れると、Windowsがフリーズしてしまう。クペルス氏によると、この場合は無害だが、ロシアの犯罪組織がADODB.Streamの脆弱性を悪用したのと同じ形で悪用することも可能だという。

Copyright(C) IDG Japan, Inc. All Rights Reserved.