MicrosoftのVBScriptに未修正の脆弱性、アドバイザリーが公開 - ITmedia エンタープライズ(情報元のブックマーク数)

IT セキュリティ

MicrosoftVBScriptの未知の脆弱性が出たということでアドバイザリを出しています。

ポップアップでF1を押させる手口で任意のコードを実行可能とのこと。

Microsoftは3月1日、Internet ExplorerIE)のVBScript利用に関する未修正の脆弱性情報が新たに公開されたとして、アドバイザリーを提供して注意を促した。
アドバイザリーや同社セキュリティ対策センターのブログによると、脆弱性IEにおけるVBScriptWindows Helpファイルの相互利用に関連した問題に起因する。攻撃者は細工を施したWebページにユーザーをおびき寄せ、ポップアップ表示でだまして「F1」キーを押させる手口で、任意のコードを実行できてしまう可能性があるという。

MicrosoftのVBScriptに未修正の脆弱性、アドバイザリーが公開 - ITmedia エンタープライズ

Exploitも出ている模様です。

脆弱性は、Internet ExplorerIE)を通じて悪用される恐れがある。細工が施されたWebページにIEでアクセスし、[F1(ファンクション1)]キーを押してヘルプファイルを呼び出すと、ウイルスなどを勝手に実行される危険性がある。実際、そのような攻撃が可能であることを示すプログラム(実証コード)がインターネット上で公開されているという。

ログインしてください:日経 xTECH(クロステック)

Exploitが出ていますねぇ・・・orz

# Title: Internet Explorer 'winhlp32.exe' 'MsgBox()' Remote Code Execution Vulnerability 
# EDB-ID: 11615 
# CVE-ID: () 
# OSVDB-ID: () 
# Author: Maurycy Prodeus 
# Published: 2010-03-02 
# Verified: yes 
# Download Exploit Code 
# Download N/A 
 
Microsoft Internet Explorer is prone to a remote code execution vulnerability. 
 
Source (iSEC Security Research): 
http://isec.pl/vulnerabilities10.html 
 
Attackers can exploit this issue to execute arbitrary code in the context of the user running the application. Successful exploits will compromise the application and possibly the underlying computer. 
 
Note attackers must use social-engineering techniques to convince an unsuspecting user to press the 'F1' key when the attacker's message box prompts them to do so. 
 
Internet Explorer 6, 7, and 8 are vulnerable when running on the Windows XP platform.

PoCも出たという記事が出ています。

MicrosoftVBScriptに未修正の脆弱性が見つかった問題で、SANS Internet Storm Centerは3月2日、この脆弱性を突くコンセプト実証(PoC)コードが公開されたと伝えた。
それによると、このPoCではWindows 2000Windows XP SP2/SP3、Windows 2003 SP2で脆弱性を悪用する方法について解説しているという。ただし現時点で、実際の攻撃は確認されていないとしている。
Microsoftによれば、脆弱性Internet ExplorerIE)におけるVBScriptWindows Helpファイルの相互作用の方法に存在する。悪質なWebサイトをIEで閲覧させて「F1」キーを押させることにより、攻撃者が任意のコードを実行できてしまう可能性が指摘されている。

VBScriptの未修正の脆弱性を突くPoCが公開、MSが回避策を呼び掛け - ITmedia エンタープライズ

関連URL

screenshot