Microsoft は、2012年6月13日、6月の定例セキュリティ情報を公開。このセキュリティ情報には、Internet Explorer(IE)に存在する多数の脆弱性「MS12-037」に対する更新プログラムも含まれていますが、これらのセキュリティ情報とは別に、Microsoft は、更新プログラムが公開されていない他のIEの脆弱性についても報告しています。具体的には、Microsoft が報告した「セキュリティアドバイザリ2719615」で、Microsoft XML コア サービスの脆弱性を確認しています。MSXML は、 ユーザに「World Wide Web コンソーシアム (W3C)」に準拠する XML APIセットを提供し、JScript、VBScript および XML 1.0標準アプリケーションの開発を可能にする Microsoft の開発ツールを使用できるようにします。
Microsoft XML コア サービスには、初期化されていないメモリ内の COMオブジェクトにアクセスしようとすると、リモートでコードが実行される脆弱性が存在しています。この脆弱性を利用することで、攻撃者は、ログインしているユーザのコンテキストで任意のコードを実行できるようになります。
上述のとおり、Microsoft XML コア サービスは、名前空間の管理などを行う「Document Object Model(DOM)」のタスクを簡素化するために、特定の COMオブジェクトにアクセスするための API一式を提供します。攻撃者は、影響を受ける MSXML API を呼び出す不正な Webページを仕込んだWebサイトを作成し、この結果この MSXML API は初期化されていないメモリ内の COMオブジェクトにアクセスします。そして、ユーザがこのような細工された WebページをIEで表示すると、脆弱性が悪用されます。ユーザは、このようなページには特別に細工されたメールまたはインスタントメッセージのリンクを使って誘導されます。
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、不正な Webページへと誘導する Webサイトへのアクセスをブロックします。なお、この Webページは、影響のある MSXML COMオブジェクトを呼び込んで脆弱性が存在する JavaScript メソッドにアクセスします。
また、脆弱性「MS12-037」への対策については、セキュリティデータベースをご確認ください。「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」でも、これらのフィルタを適用することができます。
トレンドマイクロの製品では、「セキュリティアドバイザリ2719615」の脆弱性を利用する不正プログラムを「JS_DLOADER.HVN」として検出し、削除します。この不正プログラムについての詳細は、更新があり次第お知らせします。
参考記事:
by Pavithra Hanchagaiah (Senior Security Researcher)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)