Symantecが発見したブラウザ攻撃ツールキットに、MySpaceの画像アップロードツールの脆弱性を突いた攻撃コードが組み込まれていた。
米人気ソーシャルネットワーキングサイト(SNS)MySpaceの画像アップロードツールに脆弱性が見つかった問題で、Symantecは2月7日、この脆弱性を突いたエクスプロイトが出回っていると伝えた。
それによると、Symantecのおとり用ハニーポットで、これまで見たことのないブラウザ攻撃ツールキットが検出された。エンコーダを解除して調べたところ、MySpaceの画像アップロードツール「MySpaceUploader.ocx」の脆弱性悪用コードが組み込まれていることが判明したという。
MySpaceUploader.ocxの脆弱性は、ベースとなっているAurigma製Image Uploaderの脆弱性に起因するもので、ActiveXコントロールにバッファオーバーフロー問題が存在する。
なお、Aurigmaのブログによれば、Image Uploaderの脆弱性はバージョン4.5.70の次のビルドで修正済み。最新バージョンの5.0は影響を受けないという。
Copyright © ITmedia, Inc. All Rights Reserved.