脆弱性に関する情報memo(3/3)
■ JVNVU#612021 Internet Explorer において VBScript および Windows Help を使用する際に任意のコードが実行される脆弱性 緊急 (JVN, 3/2)
攻撃コードが公開されているようです。パッチはまだありません。
関連:
■ 【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認 (LAC, 3/3)
「.htaccess」の不正アップロードを行うGumblarウイルスを確認だそうです。
【動作概要】
この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。
【従来型Gumblarとの相違点】
従来のGumblar攻撃と異なる点は、次の2点が判明しています。
1. ユーザはJavaScriptの対策だけでは防げない
Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。
2. コンテンツファイル監視だけでは気付くことができない
コンテンツファイル自体は改ざんされておらず、さらにブックマーク(お気に入り)やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。
【Webサーバ管理者の対策】
身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。
関連:
■ MS10-015 - 重要: Windows カーネルの脆弱性により、特権が昇格される (977165) (Microsoft, 3/3更新)
ルートキットが原因で公開中止していた MS10-015 ですが、公開再開したようです。
なぜこのセキュリティ情報は 2010 年 3 月 3 日に更新されたのですか?
マイクロソフトはこのセキュリティ情報を更新し、Windows Update 上で MS10-015 のセキュリティ更新プログラムの改訂版パッケージの提供を開始したことをお知らせしました。この改訂は、パッケージのインストール ロジックの変更のために行われたもので、特定の異常な状態がシステムに存在する場合にはセキュリティ更新プログラムがインストールされないようにします。 これらのシステムの異常な状態は、コンピューター ウイルスへの感染によるものであると考えられ、オペレーティング システムのファイルを改ざんされることで、感染したコンピューターは MS10-015 のセキュリティ更新プログラムと互換性のない状態になります。また、場合によって、ウイルスに感染したコンピューター上にセキュリティ更新プログラム MS10-015 をインストールすると、コンピューターが再起動を繰り返します。この現象に関する詳細情報は、こちらの Web サイト (英語情報) をご覧ください。これは、Windows Update で配布される更新プログラム パッケージのインストール ロジックのみの変更で、セキュリティ更新プログラムのバイナリまたは Windows Update の検出ロジックに対する変更はありません。マイクロソフト ダウンロード センターより提供しているセキュリティ更新プログラムには変更はなく、この新たなパッケージ インストール ロジックは含まれていません。すでにシステムを更新済みのお客様、自動更新を有効にしているお客様は特別な措置を講じる必要はありません。自動更新を有効にされているお客様で、このセキュリティ更新プログラムをまだインストールしていない場合は、できる限り早い時期にこのセキュリティ更新プログラムを適用することを検討してください。
ルートキットが入っているか同か確認して入っていなければインストールするようになったそうです。
■ Thunderbird 3.0.3 リリースノート (Mozilla, 3/1)
Thunderbird 3.0.2 への更新後発生したバグを修正。