最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ファミマクレジット、米国でカードの不正使用発覚~カード利用を一時停止(2010/12/27) | メイン | ◆日本レコード協会、「フィッシングまがい」批判受け、Twitter機能一時停止(2010/12/28) »

2010/12/27

◆Internet Explorerの脆弱性狙う危険なコード出現、MSがアドバイザリ公開(2010/12/27)

 Internet Explorer(IE)に新たな脆弱性が見つかった問題で、マイクロソフトは24日、セキュリティアドバイザリを公開した。影響を受けるのは、すべてのバージョンのIEで、同社は調査が完了次第、月例または定例外のセキュリティ更新プログラムで対処するとしている。

 この脆弱性は、CSS(Cascading Style Sheets)の処理に問題があり、外部ファイルの再帰的なインポートを行うとクラッシュを引き起こすというもの。先月29日に中国のサイトで実証コードが公開され、今月10日頃からセキュリティ企業や機関が注意を呼びかけていた。

 当初公開された実証コードは、IEをクラッシュさせるだけのものだったが、その後、コード実行を実現する実証コードが相次ぎ公開された。
 脆弱性を悪用したコード実行を防ぐために、XP SP2以降のWindowsには、データをコードとして実行することを防止するDEP(Data Execution Prevention)が搭載されている。Windows Vistaからは、プログラムをランダムなメモリ領域に配置することによって攻撃から守るASLR(Address Space Layout Randomization)もサポートされた。
 しかし、これらを迂回する手法を採り入れた実証コードもすでに公開されている。22日付けの同社のブログによれば、この脆弱性を悪用した攻撃はまだ確認されていないというが、いつ攻撃が始まってもおかしくない状況だ。

 アドバイザリでは、次の2つの回避策が提示されており、セキュリティ更新プログラムが用意されるまでの間、適切な回避策をとって攻撃に備えておきたい。特に、システム標準のDEP/ASLRだけでは回避できないコードが出現しているので、改めて回避策を検討していただきたい。

(1)アクティブスクリプトの無効化

 この脆弱性を悪用して悪質なコードを実行するためには、IEのアクティブスクリプト(JavaScriptやVBScript)を使わなければならないため、これを無効にしておけばクラッシュ時のコード実行を回避できる。
 IEの[インターネットオプション]→[セキュリティ]で、インターネットゾーンとローカルイントラネットゾーンのセキュリティ設定を「高」にすると、これらゾーンでのアクティブスクリプトやActiveXコントロールが無効になり実行されなくなる。
 この回避策は、すべてのWindowsとIEの組み合わせに有効だが、Webサイトによっては正しく表示されなくなる、動画が再生できなくなるなどの弊害がある。アクティブスクリプトやActiveXコントロールを必要とする信頼できるサイトについては、これらが実行できるように設定されている「信頼済みサイト」に追加することによって、これまで通りに閲覧することができる。

(2)EMET(Enhanced Mitigation Experience Toolkit) の使用

 同社が無償で提供している脆弱性の悪用を防ぐツール「EMET」を利用すると、システムやアプリケーションにさまざまなセキュリティ緩和技術が適用できるようになる。
 公開されているDEP/ASLRを迂回する攻撃は、IE自身の実行コードの中から適当なものを拾い集めて目的を達成する、ROP(Return Oriented Programming)と呼ばれる高度な手法が用いられている。ロードされた既存の実行コードを攻撃に流用しているため、この手法はDEPで防止することができない。
 ASLRは、このような攻撃手法も防止できるようにする技術で、システムやアプリケーションを毎回ランダムなメモリ領域に配置することによって、悪用したい実行コードの在処を予測できないようにしてしまう。ただし、Windows Vista/7標準のASLRは、互換性の問題からASLR対応のものしか処理しない。公開されているDEP/ASLRを迂回するコードは、ASLRに対応していないIEのライブラリを利用しているため、標準のASLRでは効果がないのだ。
 EMET 2.0からサポートされた「Mandatory ASLR」は、このようなASLR未対応のものも強制的にランダムなメモリに再配置してしまう機能で、攻撃が成功する確率が256分の1に軽減される。現行のEMETは英語版のみの提供だが、日本語版のWindowsでも問題なく利用できる。ダウンロード先などの詳細については、「サポート技術情報2458544」を参照していただきたい。

(2010/12/27 ネットセキュリティニュース)

【関連URL】
・セキュリティ アドバイザリ (2488013):Internet Explorer の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/2488013.mspx
・サポート技術情報2458544:Enhanced Mitigation Experience Toolkit(マイクロソフト)
http://support.microsoft.com/kb/2458544
・IE の新規アドバイザリ 2488013 を公開(日本のセキュリティチーム)
http://blogs.technet.com/b/jpsecurity/archive/2010/12/24/3377118.aspx
・New Internet Explorer vulnerability affecting all versions of IE[英文](Security Research & Defense)
http://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx

【関連記事:ネットセキュリティニュース】
・Internet Explorerにまた深刻な脆弱性発覚(2010/12/15)

投稿情報: 09:17 |

|