署名済みActiveXコンポーネントの脆弱性を発見 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.24(日)

署名済みActiveXコンポーネントの脆弱性を発見

国際 海外情報

◆概要:
 マイクロソフト社の署名済みActiveXコンポーネントは、ユーザーのコンピューターにおけるコンポーネントの実行の安全性を確認する手段となる。しかし、これらのコンポーネントにはバグが含まれている場合が多く、その悪用によってユーザーのシステムにアクセスすることができる。

 攻撃者は、このようなバグを含む署名済みActiveXコンポーネントを保存し、悪質なウェブサイトに配置して、署名済みActiveXコンポーネントを有効にしたユーザーを攻撃することができる。

 以下はWebopedia.com のレポートである。「ActiveXコントロールは、ウェブブラウザーで自動的にダウンロードし、実行することができる。プログラマーは、C、C++、Visual Basic、Javaなどのさまざまな言語でActiveXコントロールを開発できる。ActiveXコントロールはJavaアプレットに似ているが、Windowsオペレーティングシステムに完全アクセスできるため、Javaアプレットと比べて非常にパワフルである。しかし、このパワーには、マシン上のデータやソフトウェアの破壊の可能性というリスクが伴う」

◆情報ソース:
・ Georgi Guninski (guninski@guninski.com),Feb. 20, 2002

◆分析:
(iDEFENSE 米国) X.509証明書のPGPキーなどの暗号化された証明書とは異なり、ほとんどの署名済みActiveX コンポーネントには失効日が設定されていない。署名済みActiveX コンポーネントは永久的に有効であるため、欠陥コンポーネントも永久に提供されることになる。攻撃者は、このようなコンポーネントを悪質なウェブサイトにアップロードし、セキュリティの欠陥を利用してユーザーのシステムにアクセスする。

 この問題の最良の解決方法は、CertificateRevocation Lists (CRL)の利用である。これは、証明書を利用するたびに、無効化された証明書のリストを自動的にチェックする方法。証明書の安全性が不明な場合や、無効化されている場合は、クライアントがユーザーに警告する。入れ替え、更新、サービスから削除されたコンポーネントのリストを利用した、ActiveX対応のこのようなシステムの作成が可能である。

 残念ながら、これはパフォーマンスの大幅な低下を招く。コンポーネントをロードするたびに、無効化されたActiveXコンポーネントを含むデータベースへの接続が必要になる。このような多大なリソースを要するシステムが、サポートおよび開発される可能性は低い。

◆検知方法:
 ActiveXコンポーネントの使用バージョンの確認は非常に難しい。ActiveX の最新バージョンの確認は、さらに困難である。

◆暫定処置:
 ユーザーは、全てのActiveX コンポーネントを無効にすることができる。ただし、多数のウェブサイトと一部のウェブベースソフトウェアが機能しなくなる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【16:48 GMT、02、21、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

    Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  2. フィッシング詐欺支援サービスの価格表(The Register)

    フィッシング詐欺支援サービスの価格表(The Register)

  3. 豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

    豪大臣、サイバー戦争の国際法整備を ASEAN 諸国に求める(The Register)

  4. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  5. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  6. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  7. 「ゴリラズ・アプリ」の暗号解読で求人の一次審査を免除(英ジャガー・ランドローバー)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. 9月18日「大規模日本Webサイト攻撃活動」の成果(Far East Research)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×