署名済みActiveXコンポーネントの脆弱性を発見 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.24(水)

署名済みActiveXコンポーネントの脆弱性を発見

国際 海外情報

◆概要:
 マイクロソフト社の署名済みActiveXコンポーネントは、ユーザーのコンピューターにおけるコンポーネントの実行の安全性を確認する手段となる。しかし、これらのコンポーネントにはバグが含まれている場合が多く、その悪用によってユーザーのシステムにアクセスすることができる。

 攻撃者は、このようなバグを含む署名済みActiveXコンポーネントを保存し、悪質なウェブサイトに配置して、署名済みActiveXコンポーネントを有効にしたユーザーを攻撃することができる。

 以下はWebopedia.com のレポートである。「ActiveXコントロールは、ウェブブラウザーで自動的にダウンロードし、実行することができる。プログラマーは、C、C++、Visual Basic、Javaなどのさまざまな言語でActiveXコントロールを開発できる。ActiveXコントロールはJavaアプレットに似ているが、Windowsオペレーティングシステムに完全アクセスできるため、Javaアプレットと比べて非常にパワフルである。しかし、このパワーには、マシン上のデータやソフトウェアの破壊の可能性というリスクが伴う」

◆情報ソース:
・ Georgi Guninski (guninski@guninski.com),Feb. 20, 2002

◆分析:
(iDEFENSE 米国) X.509証明書のPGPキーなどの暗号化された証明書とは異なり、ほとんどの署名済みActiveX コンポーネントには失効日が設定されていない。署名済みActiveX コンポーネントは永久的に有効であるため、欠陥コンポーネントも永久に提供されることになる。攻撃者は、このようなコンポーネントを悪質なウェブサイトにアップロードし、セキュリティの欠陥を利用してユーザーのシステムにアクセスする。

 この問題の最良の解決方法は、CertificateRevocation Lists (CRL)の利用である。これは、証明書を利用するたびに、無効化された証明書のリストを自動的にチェックする方法。証明書の安全性が不明な場合や、無効化されている場合は、クライアントがユーザーに警告する。入れ替え、更新、サービスから削除されたコンポーネントのリストを利用した、ActiveX対応のこのようなシステムの作成が可能である。

 残念ながら、これはパフォーマンスの大幅な低下を招く。コンポーネントをロードするたびに、無効化されたActiveXコンポーネントを含むデータベースへの接続が必要になる。このような多大なリソースを要するシステムが、サポートおよび開発される可能性は低い。

◆検知方法:
 ActiveXコンポーネントの使用バージョンの確認は非常に難しい。ActiveX の最新バージョンの確認は、さらに困難である。

◆暫定処置:
 ユーザーは、全てのActiveX コンポーネントを無効にすることができる。ただし、多数のウェブサイトと一部のウェブベースソフトウェアが機能しなくなる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【16:48 GMT、02、21、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×