パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windowsにゼロデイ攻撃を受ける深刻な脆弱性」記事へのコメント

  • by Anonymous Coward on 2005年12月29日 17時15分 (#856950)
    タレコミからは、この脆弱性によって具体的に何が起こるのか読み取れませんでした。

    ということでリンク先のInternetWatchからの引用
    ---
    > 攻撃コードの含まれたHTMLファイルが、Windows XP SP2に影響を
    > およぼすトロイの木馬をダウンロードするWMFファイルを動作させる。
    > このトロイの木馬が、偽のスパイウェア対策/ウイルス対策ソフトを
    > 装ったプログラム「Winhound」ダウンロードするという。
    ---

    なるほど、これは怖い。
    あわててパターンファイルを2005/12/21から2005/12/28にアップデートしたところ、
    http://www.symantec.com/avcenter/venc/data/bloodhound.exploit.56.html [symantec.com]
    ではなく、
    http://www.symantec.com/avcenter/venc/data/bloodhound.exploit.6.html [symantec.com]
    がゴロゴロと出てきてびっくりしました。

    > Discovered on: February 13, 2004
    > Last Updated on: September 14, 2005 12:09:29 PM

    って…いつのやねん!みたいなね。
    • by Technical Type (3408) on 2005年12月29日 18時28分 (#856990)
      ウイルスをインストールされた [x0.com]という経験を載せてくださった人がいます。ただし、この悪用サイトは現在は閉鎖された模様。

      他に、 電卓が開くデモ [flagbind.jp]があります。ですから、何でもできるという事と、既にあちこちで悪用されているという事です。

      攻撃コードもモロに公開されている [frsirt.com]し、Metasploit でもモジュールになっている [metasploit.com]ので、危険性は著しく高いと思います。

      親コメント
      • by sugibuchi (24811) on 2005年12月29日 20時13分 (#857022)
        手元の環境で検証サイトのWMFファイルをダウンロードしたのですが、
        • 問題のWMFファイルをデスクトップに置く
        • 問題のWMFファイルが入ったフォルダを開く
        これだけでもWMFファイルに仕込まれたシェルコードが実行されてしまったのが強烈です。
        プレビューを作成するために自動的にWMFファイルを処理しようとするのでしょうか?

        ユーザの誤操作に関係なく問答無用でコマンドを実行させることが出来るので、悪用されると非常に怖いと思います。
        親コメント
      • by bunny-wheat (25840) on 2005年12月30日 0時12分 (#857145) 日記
        WMFの担当がIEでなければ、その場で開こうとしても何とかなるようです。
        私の環境では、[電卓ぅぅぅう]のリンクをクリックして、

        開く → ノートン先生は素通ししたが、Paint Shop Pro がファイルを開こうとしてエラー。電卓は起動しなかった
        保存するだけ → OK

        でした。
        IEでその場で開かなければ問題ないのかもしれませんが、
        保存した後の「フォルダを開くだけ」は防げませんでした。
        逆に保存したほうが危険とは、恐ろしいですね……
        --
        『月面兎兵器ミーナ』2007年1月13日から放送開始
        親コメント
        • 嫌なことを書くと

          例えば、ZIPで圧縮しておくと解凍時に…

          下手なソフトだと一時ファイルの段階で上手くコードを実行してくれるかも…
    • by Anonymous Coward on 2005年12月29日 18時01分 (#856978)
      ちょうど今日エロサイトを見ていた時に,いきなり(wmfに関連づけしていた)Irfan Viewが起動するとともにZone Alarmが不正接続の警告メッセージ出してくれました.
      何かwmfに偽装したウイルスに取り憑かれたのかと思ったのですが,この脆弱性を利用したコードがエロサイトに仕掛けられていたのですね.
      親コメント
    • 先程、以下のウインドウが開いたのですが関係にですよね?
      ttp://b.casalemedia.com/V2/39699/60261/index.html?www.quotationspage.com/quotes/G._K._Chesterton
      ttp://www.errorguard.com/

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...