署名済みActiveXコンポーネントの脆弱性を発見 | ScanNetSecurity
2024.03.29(金)

署名済みActiveXコンポーネントの脆弱性を発見

◆概要:
 マイクロソフト社の署名済みActiveXコンポーネントは、ユーザーのコンピューターにおけるコンポーネントの実行の安全性を確認する手段となる。しかし、これらのコンポーネントにはバグが含まれている場合が多く、その悪用によってユーザーのシステムにアクセ

国際 海外情報
◆概要:
 マイクロソフト社の署名済みActiveXコンポーネントは、ユーザーのコンピューターにおけるコンポーネントの実行の安全性を確認する手段となる。しかし、これらのコンポーネントにはバグが含まれている場合が多く、その悪用によってユーザーのシステムにアクセスすることができる。

 攻撃者は、このようなバグを含む署名済みActiveXコンポーネントを保存し、悪質なウェブサイトに配置して、署名済みActiveXコンポーネントを有効にしたユーザーを攻撃することができる。

 以下はWebopedia.com のレポートである。「ActiveXコントロールは、ウェブブラウザーで自動的にダウンロードし、実行することができる。プログラマーは、C、C++、Visual Basic、Javaなどのさまざまな言語でActiveXコントロールを開発できる。ActiveXコントロールはJavaアプレットに似ているが、Windowsオペレーティングシステムに完全アクセスできるため、Javaアプレットと比べて非常にパワフルである。しかし、このパワーには、マシン上のデータやソフトウェアの破壊の可能性というリスクが伴う」

◆情報ソース:
・ Georgi Guninski (guninski@guninski.com),Feb. 20, 2002

◆分析:
(iDEFENSE 米国) X.509証明書のPGPキーなどの暗号化された証明書とは異なり、ほとんどの署名済みActiveX コンポーネントには失効日が設定されていない。署名済みActiveX コンポーネントは永久的に有効であるため、欠陥コンポーネントも永久に提供されることになる。攻撃者は、このようなコンポーネントを悪質なウェブサイトにアップロードし、セキュリティの欠陥を利用してユーザーのシステムにアクセスする。

 この問題の最良の解決方法は、CertificateRevocation Lists (CRL)の利用である。これは、証明書を利用するたびに、無効化された証明書のリストを自動的にチェックする方法。証明書の安全性が不明な場合や、無効化されている場合は、クライアントがユーザーに警告する。入れ替え、更新、サービスから削除されたコンポーネントのリストを利用した、ActiveX対応のこのようなシステムの作成が可能である。

 残念ながら、これはパフォーマンスの大幅な低下を招く。コンポーネントをロードするたびに、無効化されたActiveXコンポーネントを含むデータベースへの接続が必要になる。このような多大なリソースを要するシステムが、サポートおよび開発される可能性は低い。

◆検知方法:
 ActiveXコンポーネントの使用バージョンの確認は非常に難しい。ActiveX の最新バージョンの確認は、さらに困難である。

◆暫定処置:
 ユーザーは、全てのActiveX コンポーネントを無効にすることができる。ただし、多数のウェブサイトと一部のウェブベースソフトウェアが機能しなくなる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【16:48 GMT、02、21、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×