打印本文 打印本文 关闭窗口 关闭窗口

IE攻击避免程序并不可靠

作者:未知 文章来源:日经BP 点击数 更新时间:2004-7-7 8:01:00 文章录入:贯通日本语 责任编辑:贯通日本语

在与安全相关的邮件列表和Web网站上,日前有人公布了一种即使安装了日本微软73日公布的使ADODB.Stream失效的程序也无法避免的攻击方法。微软发布的程序并不是修补安全漏洞的补丁,而只是通过更改设定(注册表)使得从Internet ExplorerIE)上无法再使用ADODB.Stream的程序。安装该程序也并非可以防止所有的攻击。

  6月以来,即使是安装了所有的修正补丁的IE,仅仅浏览Web网页和Html邮件就可能遭受攻击——这种攻击代码越来越多。在这类代码中,“Download.Ject”等利用了IE的安全漏洞跨域(Cross Domain)弱点ADODB.StreamWindows里包含的ADODB.Stream是可以读写文件的ActiveX控件,与安全漏洞并没有任何关系。仅是被Download.Ject利用来突破安全漏洞。

  微软此次发布的程序,通过更改设定使得从IE上无法再使用ADODB.Stream,以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程序,安全漏洞依然存在。因此,无法防止通过ADODB.Stream以外的控件发起的进攻。美国US-CERT也告诫说:要警惕那些不使用ADODB.Stream的其它攻击方法

  实际上,互联网上已经出现了使用ADODB.Stream以外控件的攻击方法。使用这些方法,即使是安装了微软公布的程序,也有可能在不知情的情况下下载并运行任意程序。

  US-CERT建议说,在微软公布完善的解决方案(比如补丁)之前,不仅要通过设定使IE无法再使用ADODB.Stream,还要使javascriptActiveX控件失效不要点击可疑邮件中给的链接以及使用杀毒软件

セキュリティ関連のメーリング・リストやWebサイトにおいて,マイクロソフトが73日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ・ホールをふさぐパッチではなく,ADODB.StreamInternet ExplorerIE)から使えないように設定(レジストリ)を変更するプログラムに過ぎないためだ(関連記事)。プログラムを適用したからといって,すべての攻撃を防げるわけではない。

 6月以降,修正パッチをすべて適用したIEでも,WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち,「Download.Ject」などは,IEのセキュリティ・ホール「クロスドメインの脆弱性」とADODB.Streamを使う。Windowsに含まれるADODB.Streamは,ファイルを読み書きできるActiveXコントロールで,セキュリティ・ホールとは何ら関係がない。Download.Jectなどがセキュリティ・ホールを突いたときに利用するだけだ。

 マイクロソフトが公開したプログラムは,ADODB.StreamIEから使えないように設定変更することで,Download.Jectなどの攻撃を回避できるようにする。セキュリティ・ホールをふさぐものではない。プログラムを適用しても,セキュリティ・ホールは残っている。このため,ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも,「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。

 実際,ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば,マイクロソフトが公開したプログラムを適用していても,任意のプログラムをダウンロードおよび実行させられるという。

 米US-CERTでは,マイクロソフトから万全の解決策(例えばパッチ)が公開されるまでは,ADODB.StreamIEから使えないようにするだけではなく,「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。

 

[1] [2] [下一页]



打印本文 打印本文 关闭窗口 关闭窗口