マイクロソフトは4日、WindowsのXMLコアサービス4.0(MSXML 4.0)の脆弱性を悪用する限定的な攻撃を確認したと発表した。すでに各社のウイルス対策ソフトが対応。マイクロソフトの修正パッチについては今のところ未定だが、同社は月例のリリースまたは定例外の更新で提供するとしている。
同脆弱性は、MSXML 4.0の一部であるXMLHTTP 4.0 ActiveXコントロールをInternet Explorer(IE)上から呼び出し、「setRequestHeader」メソッドに不正な引数を渡すとメモリ破壊が起こるというもの。当初、脆弱性の詳細な内容については広く知られておらず、攻撃は限定的なものと見られていたが、同脆弱性を突いてIE6/IE7からシェルコードを実行する実証コードが8日付(現地時間)で公になっており、悪用した攻撃が急増する可能性がある。信頼できないサイトやメール、インスタントメッセンジャ内のリンクは開かないよう注意するとともに、ウイルス対策ソフトを最新の状態にしておくことをお勧めする。
マイクロソフトでは当面の回避策として、IEのセキュリティ設定を変更してActiveXコントロールを無効化する方法、アクティブスクリプトを無効化する方法、Kill bitを設定する方法を紹介。詳細については、同社のアドバイザリを参照していただきたい。
なお、問題のMSXML 4.0は、Windowsが標準でインストールするコンポーネントではなく、一部のXMLを扱うアプリケーションを導入する際にインストールされる。使用中のシステムにMSXML 4.0がインストールされているかどうかは、以下の方法で確認できる。
・「プログラムの追加と削除」による確認
「コントロールパネル」の「プログラムの追加と削除」を開き「現在インストールされているプログラム」に「MSXML 4.0」で始まる項目がある場合は該当。
・ファイル「msxml4.dll」の有無による確認
「ファイル名を指定して実行」で、「cmd /k dir %SystemRoot%\system32\msxml*.*」と入力し[OK]を押す。表示されたディレクトリ一覧の中に「msxml4.dll」がある場合は該当。
(2006/11/09 ネットセキュリティニュース)
【脆弱性情報】
・マイクロソフトセキュリティアドバイザリ (927892) XML コアサービスの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/927892.mspx
・Microsoft XML Core Services XMLHTTP ActiveX Control Code Execution Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2006/4334
・Microsoft XMLHTTP ActiveX Control Code Execution Vulnerability [英文](Secunia)
http://secunia.com/advisories/22687/
【ウイルス対策ソフトの対応】
・HTML_AGENT.GKS(トレンドマイクロ)
・Exploit-XMLCoreSrvcs(マカフィー)
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-XMLCoreSrvcs
・HTML_AGENT.GKS(トレンドマイクロ)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FAGENT%2EGKS
・Bloodhound.Exploit.96(シマンテック)
http://www.symantec.com/region/jp/avcenter/venc/data/jp-bloodhound.exploit.96.html