WindowsにActiveXコントロール「WebViewFolderIcon(webvw.dll)」の深刻な脆弱性が発見された問題で、これを悪用したウェブサイトが出現したとして、各国のセキュリティベンダーが注意を呼びかけている。米Websenceは現地時間9月30日時点で、コードを仕込まれたサイトを600以上確認したと報告。発見されたすべてのウェブページが攻撃コードを含むわけではないが、アクセスすると攻撃を受ける危険性がある。
同コントロールには整数オーバーフローの問題があり、細工されたウェブページやHTMLメールをIEで開くだけで、コードが実行される。マイクロソフトは29日に公開したアドバイザリで、IEを介した攻撃の一時的な回避策として、ActiveXコントロールの無効化やKill bitの設定を提示している。回避策を実施しない状態で攻撃ページを開くと、トロイの木馬やRootkitがダウンロードされてしまう。
攻撃サイトへの誘導には、メール中のリンクや検索サイトが悪用されている。ウイルス対策ソフトを最新状態にする、怪しいURLをクリックしないなどの対策が必要だ。
また、マイクロソフトも攻撃サイトの出現を確認し、3日にアドバイザリを更新した。同社の調査では、同脆弱性を悪用したマルウエアのインストールは、ほとんどが失敗に終わっているという。マイクロソフトでは引き続き調査を進めるとともに、この脆弱性を解決するためのセキュリティ更新プログラムを今月11日の月例パッチ配布時にリリースする。
(2006/10/04 ネットセキュリティニュース)
■マイクロソフト セキュリティ アドバイザリ (926043) Windows シェルの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/926043.mspx
■Malicious Web Site / Malicious Code: WebView FolderIcon setSlice Vulnerability[英文](Websense)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=644
【ウイルス情報】
■Bloodhound.Exploit.83(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-bloodhound.exploit.83.html
■JS_PLOIT.BC(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FPLOIT%2EBC
■JS/Exploit-BO.gen(マカフィー)
http://www.mcafee.com/japan/security/virE2005.asp?v=JS/Exploit-BO.gen
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】Windowsの脆弱性を突く危険な実証コード公開(2006/09/29)