画面●ゼロディ攻撃で生成されるXMLタグ
画面●ゼロディ攻撃で生成されるXMLタグ
[画像のクリックで拡大表示]

 米セキュリティ研究機関System Administration Networking and Security Institute(SANS Institute)のInternet Storm Center(ISC)は米国時間2008年12月10日,「Internet Explorer(IE)」に存在する未知のセキュリティ・ホールを突くゼロデイ攻撃が出現したとして注意を呼びかけた。米Microsoftが前日公開した月例セキュリティ・アップデートの修正対象とは異なるセキュリティ・ホールが狙われており,修正パッチをすべて適用した「Windows XP」でも影響を受けるという(関連記事:マイクロソフトが「緊急」パッチ6件を公開,WordやExcelファイルを開くだけで被害の恐れ)。

 この攻撃はIEのXMLパーサーを悪用してヒープ・オーバーフローを起こし,WebブラウザとOSの種類を調べる。IE 7とWindows XP/2003の組み合わせであることを確かめると,攻撃用のXMLタグを生成する(画面)。攻撃用XMLタグはすぐに起動せず,6秒後に動き始める。この待機処理の目的を,SANSはセキュリティ対策ソフトウエアによる検出/対策を避けるためと分析している。

 IE 6/Windows Vistaなどを使っている環境については,どのような影響があるかまだ確認していない。攻撃の分析は十分進んでおらず,IE使用を避ける以外の対策は不明。

 現時点で攻撃は拡大していないものの,既に攻撃コードが公開されているため短時間で広まる恐れがあるという。

[発表資料へ]