Internet Explorer(IE)のセキュリティパッチでマルウェアのドライブバイダウンロードの問題を修正してから2週間も経たないうちに、米Microsoftはコード実行攻撃を許す新しいゼロデイ脆弱性が公開されたことへの対処を急いでいる。
同社は、Full-disclosureメーリングリストに投稿された「最新版IEがネスト構造のOBJECTタグを含むWebページにアクセスしたときに、さまざまな種類のクラッシュを引き起こす」という警告について調査していることを認めた。
同社の広報担当者は、最初の調査で、このバグによりブラウザが突然閉じたり、応答しなくなるなどの現象が起きる可能性が高いことが明らかになったとしている。
「Microsoftは顧客に必要な指導をするため、引き続きこの報告を調査する」とこの担当者は語る。
問題の脆弱性を発見し、Microsoftに通知せずに公開したマイケル・ザレウスキー氏は、この問題は完全にパッチをあてたWindows XP SP2向けIE 6.0で確認されたと語る。
「一見したところ、この脆弱性はリモートからの攻撃ベクトルを提供する可能性があるが、必ずしも確実なものではない」(同氏)
同氏は、このバグは「複雑でありデバッグは難しい」と表しているが、コード実行攻撃のシナリオが出てくる危険性を排除することはできないと警告している。
「従って、緊急の問題ではあるが、わずかなものだ」(同氏)
セキュリティ警告を収集しているSecuniaは、この問題を「highly critical」と評価し、ユーザーを不正なWebサイトにアクセスさせることでこれを悪用してメモリを壊すことができると強調している。「これを悪用することに成功すると、任意のコードを実行できる」
FrSIRTも、この脆弱性がIEユーザーに危険を及ぼすことから「critical」のレーティングを付けている。同機関はアドバイザリーの中で、リモートの攻撃者がこの問題を悪用して、任意のコマンドを実行する恐れがあると述べている。
「この脆弱性は、不正な形式のOBJECTタグを含む、特殊な細工を施したHTMLスクリプトを処理する際に、メモリ崩壊が起きることが原因。攻撃者はこれを悪用して、特殊な細工を施したWebページにユーザーを誘導することで、影響を受けるシステムをリモートから完全に掌握することができる」(FrSIRTのアドバイザリーより)
Websense Security Labsの研究者らは、リモートコード実行攻撃を実行するコンセプト実証コードは公開されていないとしつつも、ブラウザクラッシュの脆弱性がリモートコード実行攻撃につながることは多いと明言する。
「われわれは現在、この脆弱性を悪用しようとするサイトをスキャンして探しているところだ」と同社は言う。
Microsoftはザレウスキー氏が包括的なパッチができる前に脆弱性を公開したことを批判しているが、同氏は悪びれていない。
「わたしがMicrosoftに(脆弱性を)前もって通知しなかったのは、同社の脆弱性パッチ作成プロセスに強く反対しているからだ。大した影響を及ぼすことはできないが、これはわたしにとって、第三者にすぐには危害が及ばないと確信できるときに起こせるちょっとした市民としての反抗だ」とザレウスキー氏はeWEEKへのメールの中で述べている。
「わたしは特に、Microsoftは同社に何らかの形で頼っている企業の脆弱性研究者に応対するときに、脅迫ギリギリのやり方に訴えていると信じている。同社は時に、ささいなバグを修正するのに100日もかけて、問題の開示を遅らせている(これは決して正当とは認められない)」(同氏)
「(Microsoftは)しばしば脅威を過小評価しようとする。有意義な形で脆弱性研究コミュニティーに参加していないし、メディアに予測を伝えるときに決まって虚偽の主張をする(例えば、顧客への気遣いを示し、脆弱性研究者を非難する。金持ち会社が自社ソフトの致命的な欠陥を修正するのに十分な費用を投じていないことが、顧客のリスクの主な原因であるというのにだ)」と同氏は記している。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
Special
PR