TrendLabs | Malware Blog
「More Zero-Day Exploits for Firefox and IE Flaws」より
Jul 21, 2009 Jovi Umawing
トレンドラボのシニア・ウイルス解析者 Joseph Reyes は、“Mozilla Firefox” および “Microsoft Internet Explorer(ActiveXコントロール)”のセキュリティホールを利用する不正スクリプトを確認しました。トレンドマイクロではこれら不正スクリプトをウイルスとして、以下のように警告を行っています。
ウイルス名 |
概要 |
このウイルスは”Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される(972890):CVE-2008-0015”のセキュリティホールを利用し、ほかのウイルスをダウンロードします。 |
|
このウイルスは、Webサイトにアクセスし、「JS_SHELLCODE.BV」をダウンロードします。また、”Mozilla Firefox バージョン3.5” のセキュリティホール「Mozilla Foundation Security Advisory 2009-41:Mozilla Firefox の JavaScript エンジン(Tracemonkey コンポーネント)に任意のコードが実行される脆弱性:CVE-2009-2477」を利用し、「WORM_KILLAV.AKN」をダウンロードします。 |
|
このウイルスは、「JS_FOXFIR.A」のコンポーネントです。ウイルスは、エクスプロイトコード(セキュリティホールの存在を実証するためのプログラム)を含み、Webサイトにアクセスして、「WORM_KILLAV.AKN」をダウンロードします。 |
|
このウイルスは、リモートサイトにアクセスして、「JS_SHELLCODE.BV」をダウンロードします。また、”Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される(973472):CVE-2009-1136” のセキュリティホールを利用します。 |
この攻撃を解析したJessa De La Torre によれば、利用者が該当ブラウザのいずれかを用いて悪意あるWebサイト、または、これらウイルスが組み込まれたWebサイトを閲覧すると、上記のウイルスが自動的にダウンロードされ、コンピュータに侵入します。
Mozilla Firefox
Mozilla Firefox の利用者からは、アプリケーションのクラッシュが報告されています。デベロッパーによれば、このクラッシュがメモリー破壊を招き、攻撃者により利用される恐れがあるということです。「escape()」などのネイティブ関数から戻り値が得られた後、特定の場合において、ジャストインタイム (JIT) コンパイラが破損した状態に陥る場合があります。攻撃者は、この状態を利用して、不正プログラムをインストールするコード等を実行することができます。
なお、Mozilla Firefox 3.5より古いバージョンは、JIT機能に対応していないので、このセキュリティホールの影響を受ける恐れはありません。
「Mozilla Security Blog:Critical JavaScript vulnerability in Firefox 3.5」の紹介のとおり、Mozilla Firefox バージョン3.5の利用者は、JITコンパイラを無効にする(訳注:about:config インターフェースを使用して、javascript.options.jit.content と javascript.options.jit.chrome を false に設定)ことにより、このセキュリティホール利用の攻撃を回避できます。Mozilla Firefox バージョン 3.5.1の利用者は、このような作業を行う必要はありません。
Internet Explorer:ActiveXコントロール
Mozilla Firefox と同様、Internet Explorer デベロッパーも利用者からの報告を受け、このブラウザのActiveXコントロールに存在する2つのセキュリティホールが攻撃に利用されていることを確認しました(訳注:今回、Internet Explorerに機能を追加しているActiveXコントロールにセキュリティホールが確認されています。Internet Explorerでは、Active Xコントロールを用いることで標準の状態では表示できないコンテンツをWebブラウザ上で直接表示させたりすることが可能となります)。
Microsoft Video ActiveX コントロールのセキュリティホールが利用されると、利用者がInternet Explorerで不正Webページにアクセスし、ActiveX コントロールを実行した場合、リモートでコードが実行されます。ユーザ権限を制限されているアカウントを使用している利用者は、管理者権限を持つユーザに比べて、この攻撃の被害は小さくなります。
多くの利用者は、自動更新機能、Windows Update サイト、および Microsoft Update サイトを有効にしているので、この攻撃を防ぐために特別な作業をする必要はありません。この攻撃に対応するセキュリティ更新プログラム(セキュリティパッチ)は、自動的にダウンロードされ、コンピュータにインストールされます。自動更新機能を有効にしていない利用者は、該当のセキュリティ更新プログラムを手動でインストールする必要があります。
攻撃者がこの脆弱性を悪用した場合、ローカルのユーザと同じユーザ権限を取得する可能性があります。リモートでコードが実行されるため、利用者の操作を一切必要としない可能性があります。マイクロソフトは、この脆弱性を利用する攻撃を確認しており、 Webサイト「マイクロソフト セキュリティ アドバイザリ: Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行される」に掲載されている解決方法を利用して、手動または自動でOWCが実行されないようにすることを勧めています。
トレンドマイクロでは、以下のWebページにアクセスして、これらの不正スクリプトが利用するセキュリティホールを修正するためのアップデートまたは修正パッチをダウンロード、インストールすることをお勧めしています。
攻撃タイプ | ベンダ発表(発表日:2009/07/07) | 脆弱性情報 | |||
会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
受動 | マイクロソフト株式会社 | 972890 | Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される | CVE-2008-0015 JVNTA09-187A |
9.3(危険) |
攻撃タイプ | ベンダ発表(発表日:2009/07/13) | 脆弱性情報 | |||
会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
受動 | マイクロソフト株式会社 | 973472 | Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される | CVE-2009-1136 JVNVU#545228 |
9.3(危険) |
攻撃タイプ | ベンダ発表(発表日:2009/07/16) | 脆弱性情報 | |||
会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
受動 | Mozilla | 2009-41 | Corrupt JIT state after deep return from native function | CVE-2009-2477 JVNVU#443060 |
6.9(警告) |
また、トレンドマイクロ製品ご利用の皆さまは、この攻撃を回避するために、最新の検索エンジンをダウンロードすることをお勧めします。
|