セキュリティ関连のメーリング?リストやWebサイトにおいて,マイクロソフトが7月3日に公开した「ADODB.Streamを无効にするプログラム」を适用しても回避できない攻撃手法が公开されている。同プログラムはセキュリティ?ホールをふさぐパッチではなく, ADODB.StreamをInternet Explorer(IE)から使えないように设定(レジストリ)を変更するプログラムに过ぎないためだ(関连记事)。プログラムを适用したからといって,すべての攻撃を防げるわけではない。
6月以降,修正パッチをすべて适用したIEでも,WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち,「Download.Ject」などは,IEのセキュリティ?ホール「クロスドメインの脆弱性」とADODB.Streamを使う。 Windowsに含まれるADODB.Streamは,ファイルを読み书きできるActiveXコントロールで,セキュリティ?ホールとは何ら関系がない。Download.Jectなどがセキュリティ?ホールを突いたときに利用するだけだ。
マイクロソフトが公开したプログラムは,ADODB.StreamをIEから使えないように设定変更することで,Download.Jectなどの攻撃を回避できるようにする。セキュリティ?ホールをふさぐものではない。プログラムを适用しても,セキュリティ?ホールは残っている。このため, ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも,「ADODB.Streamを使わない别の攻撃方法がありうることに注意する必要がある」としている。
実际,ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば,マイクロソフトが公开したプログラムを适用していても,任意のプログラムをダウンロードおよび実行させられるという。
米US-CERTでは,マイクロソフトから万全の解决策(例えばパッチ)が公开されるまでは,ADODB.StreamをIEから使えないようにするだけではなく,「アクティブ スクリプトやActiveXコントロールを无効にする」「胜手に送られてきたメールなどに记载されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。
译文对照:
在与安全相关的邮件列表和Web网站上,日前有人公布了一种即使安装了日本微软7月3日公布的“使ADODB.Stream失效的程序也无法避免的攻击方法。微软发布的程序并不是修补安全漏洞的补丁,而只是通过更改设定(注册表)使得从Internet Explorer(IE)上无法再使用ADODB.Stream的程序。安装该程序也并非可以防止所有的攻击。
6月以来,即使是安装了所有的修正补丁的IE,仅仅浏览Web网页和Html邮件就可能遭受攻击——这种攻击代码越来越多。在这类代码中,“Download.Ject”等利用了IE的安全漏洞“跨域(Cross Domain)弱点”和ADODB.Stream。Windows里包含的ADODB.Stream是可以读写文件的ActiveX控件,与安全漏洞并没有任何关系。仅是被Download.Ject利用来突破安全漏洞。
微软此次发布的程序,通过更改设定使得从IE上无法再使用ADODB.Stream,以此来避免Download.Ject等的攻击。但这并非是修补安全漏洞。即使安装了该程序,安全漏洞依然存在。因此,无法防止通过ADODB.Stream以外的控件发起的进攻。美国US-CERT也告诫说:“要警惕那些不使用ADODB.Stream的其它攻击方法”。
实际上,互联网上已经出现了使用ADODB.Stream以外控件的攻击方法。使用这些方法,即使是安装了微软公布的程序,也有可能在不知情的情况下下载并运行任意程序。
US-CERT建议说,在微软公布完善的解决方案(比如补丁)之前,不仅要通过设定使IE无法再使用ADODB.Stream,还要“使javascript和ActiveX控件失效”、“不要点击可疑邮件中给的链接”以及“使用杀毒软件”。
一级建造师二级建造师二级建造师造价工程师土建职称公路检测工程师建筑八大员注册建筑师二级造价师监理工程师咨询工程师房地产估价师 城乡规划师结构工程师岩土工程师安全工程师设备监理师环境影响评价土地登记代理公路造价师公路监理师化工工程师暖通工程师给排水工程师计量工程师
执业药师执业医师卫生资格考试卫生高级职称执业护士初级护师主管护师住院医师临床执业医师临床助理医师中医执业医师中医助理医师中西医医师中西医助理口腔执业医师口腔助理医师公共卫生医师公卫助理医师实践技能内科主治医师外科主治医师中医内科主治儿科主治医师妇产科医师西药士/师中药士/师临床检验技师临床医学理论中医理论