セキュリティ組織の米US-CERTなどは現地時間10月27日,Windowsに含まれる特定のActiveXコントロールにセキュリティ・ホールが見つかったことを明らかにした。このコントロールを呼び出す悪質なWebページにInternet Explorer(IE)でアクセスすると,IEが不正終了したり,攻撃者が意図したプログラム(コード)を実行されたりする恐れがあるという。対策は,IEの設定変更など。
今回のセキュリティ・ホールは,ActiveXコントロール「ADODB.Connection」に見つかった。同コントロールのExecute()関数にセキュリティ・ホールが存在するとされているが,詳細は不明。
このセキュリティ・ホールを突くことが可能であることを示す検証コード(Proof of Concept,POC)がネット上で公開されたことで,セキュリティ・ホールの存在が明らかになった。検証コードを含むHTMLファイル(WebページやHTMLファイル)をIEで開くと,IEが不正終了させられるという。
検証コードはIEを不正終了させるだけだが,今回のセキュリティ・ホールを悪用されると,任意のプログラムを実行される可能性もあるという。確認はされていないものの,米SANS InstituteのISC(Internet Storm Center)によるブログでは,「シェルコードを含む“バージョン”(任意のプログラムを実行させるようなコード)がリリースされるのは時間の問題」としているので,その可能性は高いと考えられる。
なお,米Microsoftのセキュリティ・チームであるMicrosoft Security Response Center(MSRC)でも,今回の検証コードを確認済み。現在調査中で,調査が済み次第,ユーザーを保護するための適切な対応をするとしている。
現時点では修正パッチなどは未公表。対策は,IEを通じてADODB.Connectionが呼び出されないようにkill bitを設定すること。{00000514-0000-0010-8000-00AA006D2EA4}のCLSIDにkill bitを設定すれば,影響を回避できる(kill bitの設定方法については,マイクロソフトの情報を参照のこと)。
ADODB.Connectionを含むすべてのActiveXコントロールが呼び出されないように,IEのセキュリティ設定を高めることも回避策になる。例えば,IEの「インターネットオプション」から「セキュリティ」を選択し,セキュリティのレベルを「高」に設定する。
また,「信頼できないWebページにアクセスしない/信頼できないHTMLメールを開かない(HTMLメールを表示しない設定にする)」ことも重要である。
・US-CERTの情報(1)
・US-CERTの情報(2)
・Microsoft Security Response Center Blog
・SANS Internet Storm Center Handler's Diary
