Video Screencast Help

すでに悪用されている Internet Explorer の新しいゼロデイ脆弱性

Created: 18 Sep 2012 04:00:22 GMT • Translations available: English
Branko Spasojevic's picture
0 0 Votes
Login to vote

寄稿: Lionel Payet

先日、Eric Romang 氏が Microsoft Internet Explorer の画像配列に存在するリモートコード実行の脆弱性についてブログ記事を公開しました。これは、Internet Explorer のゼロデイ脆弱性と考えられており、すでに悪用されています。シマンテックは、この脆弱性が Internet Explorer バージョン 7、8、9 に影響を及ぼすことを確認しています。この脆弱性について、Microsoft 社はまだ公式の声明を発表していません。

この脆弱性の悪用は、次の 4 つのコンポーネントで構成されています。

  • Exploit.html が、悪用を設定する入り口として機能します。脆弱性について必要な条件を設定した後で、Moh2010.swf を起動します。
  • Moh2010.swf(Flash ファイル)が、ペイロードが実行されるメモリ領域に対してヒープスプレーを実行します。ペイロードを設定した後で、脆弱性を引き起こす Protect.html を IFRAME ウィンドウで開いて起動します。
    • シマンテックは、この段階の脅威を Trojan.Swifi として検出します。
       
  • Protect.html が、実際に脆弱性を引き起こします。Moh2010.swf によって設定された悪質なペイロードを実行する役割を担います。
    • シマンテックは、この段階の脅威についても Bloodhound.Exploit.474 として検出します。
       
  • ペイロードが、侵入先のシステムに追加の悪質な実行可能ファイルをダウンロードして実行します。

興味深いことに、この悪用は Nitro 攻撃で使われているのと同じサーバーでホストされていました。

いつものことですが、基本的なセキュリティ対策(ベストプラクティス)に従って、ソフトウェアの最新パッチがインストールされていることを確認してください。また、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。