カテゴリー
Vulnerability

IE6,7,8 のゼロデイアタックの話。

投稿アップデート情報  追記(1/4)  追記2(1/8)  追記3(1/9)  追記4(1/15)

 年の初めからナンだけど, CVE-2012-4792 の件です。

 昨年末,いつもの セキュリティホール memo さんのところで, Attackers Target Internet Explorer Zero-Day Flaw やら CFR Watering Hole Attack Details なぞというのを見かけて,アラーッと思っていたんだが,30日の追記によると,Fix it が提供される予定らしい。しかし,日本語の情報が少なくて,アドバイザり(2794220)は出たが,これも今のところ日本語なし。<<--- 遅ればせながら,日本語のほうにリンクを貼り換えた。(1/15)  すでにアタックがあってるのに,どなたかお願いしますよと思っていたら,徳丸さんが,今日,元旦にも関わらず,IE6,7,8のゼロデイ脆弱性(CVE-2012-4792)の対処法 を出してくれた。

 で,この中に 日本語情報のページとして, Internet Explorer に任意のコードが実行される脆弱性 をリンクしてくれている。今のところ,姑息な回避策しかないようなので,Fix it か Windows Update でパッチが提供されるまでは,IE6,7,8 の使用は避けたほうが,無難かもしれない。

 このゼロデイアタックの内容を書くのが後になったが,要するに,マルウェアに感染しているサイトを見に行くと,この脆弱性を利用して攻撃され,見に行ったものがトロイの木馬に感染するということらしい。このトロイの木馬は, Symantec が Trojan.Swifi と名づけけていたものの亜種のようだ。一番初めに感染したサイトとして,報告されたのが,Council on Foreign Relations (外交問題評議会) で,日本語でもこのゼロデイアタックは有効ということだから,年末年始にどこか大手のサイトで感染しているところに遭遇する危険は,十分ある。

 どこの国でも,クリスマスやお正月などの前後は,ネットワーク管理者なんかもみんなお休みになって,セキュリティパッチの適用なんかも遅くなりがちだから,自衛するに越したことはないと思うよ。

 自衛法は,徳丸さんのところを参照してください。

追記(1/4):
 これに対するfix itは,すでに出た。しかし,当該ページにも書いてあるように,セキュリティパッチに代わるものではなく,先に提示されていたややこしい回避策のうちのひとつを,自動的にやってくれるものに過ぎないようだ。IE9,10は影響を受けないといわれているが,WinXPはIE9をサポートしていないから使いようがない。

 IE6,7,8については,最新のセキュリティパッチを当てた上で,上記のfix it(50971)ををやっておけばいいかもしれない。50972はこの回避策を解除するものなので,50971を当てたせいで,不具合が起こったりしない限り,使う必要はない。万が一間違って50971→50972と続けてやってしまうと,何もやっていないのと同じことになるので注意。

 ちゃんとインストールされたかどうかは,次の方法で確認できる。
[方法 1]
 レジストリエディタで以下のエントリがあるかどうかを確認。

  • 32-bit および 64-bit ともに以下のエントリが存在する。
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
  • 64-bit には以下のエントリも存在する。
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

[方法 2]
 レジストリエディタで以下の場所の REG_QWORD エントリに
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iexplore.exe

  • 32-bit および 64-bit ともに以下の名前が存在する。
      {a1447a51-d8b1-4e93-bb19-82bd20da6fd2}.sdb
  • 64-bit には以下の名前も存在する。
      {6631f21e-4389-4c67-9b10-cf2b559b8d4a}.sdb

 まぁ,正規のセキュリティパッチの出るまでは,FireFoxでも使ったほうがいいかもね。

追記2(1/8):
 こんなことだそうです。上にも書いたけど,正規のパッチが出るまでは,IE6,7,8は使わないほうがいいですね。感染サイトとして報告されているのが,大きなまともなサイトばかりだから,国内のサイトでも,そういう可能性は否定できないです。
    Fix it を突破する方法が確認されたそうで:

追記3(1/9):
 徳丸さんとこの記事です。どうしても,IE6,7,8を使い続けなければいけない場合に使える回避策だそうです。しかし,一般人は,ここまでするなら,別ブラウザを使うほうが楽ッス。そういえば,火狐の18.0が出ましたね。
 いずこも日夜努力しておられます。ユーザとしてはありがたく成果を頂戴するのみですが,悪いことのほうで日夜努力するグループが多いのも,痛いですね。
    EMET3.5でIEを防御する(CVE-2012-4792)

追記4(1/15):
 出ました。Internet Explorer 用のセキュリティ更新プログラム (2799329)。自動更新を有効にしている場合は,自動で当たるので大丈夫なはずだが, (2799329) MS13-008が更新プログラム中にあるかどうか位は,確認しておいたほうが,吉。手動にしている場合は,早速,対処しよう。ただし,当てる順序には十分注意を。

  1. Internet Explorer の最新の累積的なセキュリティ 更新プログラム (2761465) MS12-077 <<--- 先月分です。
  2. Internet Explorer 用のセキュリティ更新プログラム (2799329) MS13-008
  3. Fix it による回避策 50971 を使った場合は,これを元に戻す 50972。必須ではない模様。やらなくても可。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です