マイクロソフトとセキュリティベンダー各社は先月28日に発表されたWindowsのアニメーションカーソルの脆弱性を狙う攻撃サイトの出現について警告した。
同脆弱性は画像ファイルの一種であるアニメーションカーソル(.ani)ファイルの処理に関する脆弱性で、表示するなどWindowsに処理させるだけで埋め込まれた悪意あるコードを自動的に実行してしまう。たとえば、細工されたウェブサイトをInternet Explorer(IE)で開いたり、細工を施されたメールをプレビューするだけでも、同脆弱性を突いて攻撃されるおそれがある。
米SANSは、攻撃者が悪意あるコードを埋め込むためにSQLインジェクションを使用して、攻撃者が作成したのではない、ごく一般的な既存サイトに細工したと見られるものが数多く発見されたと報告した。ユーザーはいつも閲覧しているサイトを訪れたつもりで、悪意あるコードを埋め込まれたサイトに、気付かぬうちにアクセスしてしまう危険性がある。さらに、Googleでスクリプトのリファレンスを検索したところ、11万3000件がヒット。同脆弱性を標的にした攻撃が拡大していることが確認された。
マイクロソフトでは現在この問題を調査中で、セキュリティ更新プログラムの提供を予定しているとしている。パッチが提供されるまでの回避策として、信頼できないウェブサイトにアクセスしないことや、送信元が信頼できるかどうかにかかわらず、電子メールの添付ファイルを安易に開かないことなどを挙げているが、決定的な対策はない。米国のeEyeでは、他の回避手段を利用できるまでの緩和策として非公式なパッチを公開した。
同脆弱性の影響を受けるのはWindows 200/XP/Vista/Server 2003で、IE6/7が直接影響を受ける。メールを介して攻撃されるおそれもあるため、Outlook ExpressなどのIEのエンジンを使用してHTMLメールを表示するメールソフトも影響を受ける。IE7を保護モードで使用すれば、ウェブサイトを通じた攻撃の危険性は低減される。
(2007/04/02 ネットセキュリティニュース)
■Update on Microsoft Security Advisory 935423 [MSRCTEAM][英文] (Welcome to
the Microsoft Security Response Center Blog!)
http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx
■マイクロソフト セキュリティ アドバイザリ(935423)
http://www.microsoft.com/japan/technet/security/advisory/935423.mspx
■*ANI exploit code drives INFOCon to Yellow [英文](SANS)
http://isc.sans.org/diary.html?storyid=2542
■ANI File Exploit Has Connection With Hacked Super Bowl Site[英文](マカフィー)
http://www.avertlabs.com/research/blog/?p=237
■Malicious Website / Malicious Code: Animated Cursor 0-Day Vulnerability
[英文](Websense)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=762
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】Windowsのアニメーションカーソル処理にコード実行の脆弱性(2007/03/30)