Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS月例パッチで「MSXML」のゼロデイ脆弱性を修正 - 一部環境では「Fix it」活用を

日本マイクロソフトは、7月11日に月例セキュリティ更新プログラムの提供を開始した。攻撃が確認されている「Microsoft XMLコアサービス(MSXML)」の脆弱性に対応したが、環境によってはセキュリティ更新プログラム以外の対応が引き続き必要となる。

問題の脆弱性「CVE-2012-1889」は、「MSXMLオブジェクト」に存在しているもので、悪用されると任意のコードを実行されるおそれがある。

同社では、6月に標的型攻撃を確認したとしてセキュリティアドバイザリを公開。7月の月例パッチで、一部を除き、同脆弱性に対応する「MS12-043」を用意した。深刻度を「緊急」に設定し、早期適用を呼びかけている。

同脆弱性を狙った攻撃の発生状況を見ると、シマンテックが、正規ウェブサイトの改ざんを確認。「iframe」を埋め込む攻撃で、細工したウェブサイトを表示させてマルウェアへ感染させる手法だった。

「iframe」で読み込まれるページでは、「JavaScript」と「SWFファイル」を組み合わせた攻撃を展開しており、Windowsのバージョンや言語によって異なる攻撃を仕掛けるようカスタマイズされていた。

一方トレンドマイクロでは、不正サイトへ誘導するスパムメールを観測。スパムメール内のリンクをクリックして不正サイトへ接続すると、不正コード「HTML_EXPLOYT.AE」が実行されるという。

トレンドが確認した攻撃では、セキュリティ対策機能「DEP(Data Execution Prevention)」により攻撃を防御できるため、同機能がデフォルトで有効となっている「Internet Explorer 8」以降では攻撃が失敗に終わるという。一方同機能を利用していない環境では攻撃が成功し、バックドア「BKDR_POISON.HUQA」へ感染するおそれがあった。今後は、DEPを回避する攻撃の発生も見込まれるという。

今回公開された「MS12-043」では、「MSXML 3.0」「同4.0」「同6.0」の脆弱性を修正しているが、「Office」にて提供される「同5.0」は、プログラムの品質確保を理由に対応が見送られた。

同社は、修正プログラムの開発を進めており、準備ができ次第、提供したい考えだ。緩和策としてセキュリティアドバイザリで案内した「MSXML ActiveX」を無効化する「Fix it」の活用を引き続きアナウンスしている。

こうした状況について、日本マイクロソフトセキュリティレスポンスチームでチーフセキュリティアドバイザーを務める高橋正和氏は、攻撃の発生状況を踏まえてプログラムの提供時期を決めているとし、「現時点で確認されている攻撃は、バージョン3.0を対象としており、同バージョンの脆弱性を修正するプログラムの提供を急いだ」と説明する。

また同氏は、主要セキュリティベンダーが参加する「MAPP(Microsoft Active Protections Program)」で情報を共有するなど対応を進めていることを強調。セキュリティアドバイザリ公表以降、参加ベンダーのセキュリティ対策製品では、マルウェアや同攻撃への対応が行われているという。

(Security NEXT - 2012/07/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、7月に公開した月例パッチ「MS12-043」を再リリース - 「MSXML 5.0」の脆弱性を修正
IEによるウェブ閲覧で影響受ける脆弱性、標的型ゼロデイ攻撃が発生中 - 回避策「Fix It」の適用検討を
MS、月例セキュリティ更新プログラム9件を公開 - 「緊急」3件は適用優先度も「高」
MS、「緊急」8件含む14件のプログラムを公開 - 公開済み3件を含む34件の脆弱性を解消