YANO's digital garage

オンラインバンキング等のログイン情報を盗む危険性が懸念されているトロイの木馬Download.Jectの対応策がマイクロソフトTechNetセキュリティセンターから示された。

簡単に言うとInternet Explorerの内部でファイルをダウンロード・アップロードするADODB.Stream機能を使用できなくするというものだ。

但しInternet Explorer で ADODB.Stream オブジェクトを無効にする方法に

多くのWebアプリケーションが、Internet Explorer 上でハード ディスクへのファイルの読み書きを行う際に ADODB.Stream オブジェクトを使用していると考えられます。たとえば、イントラネットサーバーで、社員が既定の文書ファイルを必ずダウンロードして入力しなければならない場合、そのファイルをローカルコンピュータに保存する時に ADODB.Stream オブジェクトを使用します。ユーザーがそのファイルをローカルで編集した後、そのファイルをサーバーに保存する場合に、ADODB.Stream オブジェクトを使用してローカルのハード ディスクから読み込み、サーバーへの保存をします。

と書かれているとおり、一部のwebアプリケーションの動作に支障が生じる可能性があるので要注意。その時はレジストリエディタでCompatibility Flagsの値を０にすれば復旧できるそうだ。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣新たなトロイの木馬攻撃で浮き彫りになるIEの危険性 2004年7月1日
┗Microsoft、Windowsの設定変更でIIS攻撃に対応 2004年7月3日
●TechNetセキュリティセンター http://www.microsoft.com/japan/technet/security/
┣Download.Ject に関する情報 2004年6月25日
┗Internet Explorer で ADODB.Stream オブジェクトを無効にする方法 2004年7月3日
ダウンロード > Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer (KB870669) - 日本語 2004年7月3日

Webブラウザで一部のターゲットフレームに別のサイトを表示できてしまう問題が指摘されている。この問題を悪用してオンラインバンキングサイトの入力エリアを偽装したりすればIDとパスワードを簡単に取得する事が可能になり、危険性はかなり高い。

早速検証ページで確認したところ、Internet Explorerと、Opera 7.23日本語版、7.51英語版においてこの問題が再現する一方で、Mozilla 1.7日本語版、Mozilla Firefox 0.9.1日本語版ではこの影響を受けない。

これはブラウザのバグと言うよりHTML言語規格の不用意なルーズさに起因する問題であり、Webブラウザの実装（ベンダーの思想）に左右されているものと思われるので、HTMLフレームをサポートしているブラウザフォン、WebTV、セットトップボックス等にも影響を受けるものがあるかもしれない。

ちなみにInternet Explorerではセキュリティ設定にある「異なるドメイン間のサブフレームの移動」という項目を無効にする事で制限できる。またインターネットゾーンのセキュリティを高にする事により同じ設定が適用されるので安心だ。

こちらの施策もサイトによってはオペレーションに影響を受ける恐れがあるが、そもそもフレーム内に別ドメインを表示するサイトなんてお粗末にも程がある。即刻切捨てるべし。

【参照】
●ITmedia http://www.itmedia.co.jp/
┣IEにまた脆弱性、旧バージョンでは修正済みだがIE5/6には影響 2004年7月1日
┗フレーム詐称の問題はIE以外のWebブラウザにも 2004年7月2日
●日経IT Pro http://itpro.nikkeibp.co.jp/
┣IEにセキュリティ・ホール，フレーム中に任意のコンテンツを表示させられる 2004年6月30日
┗MozillaやOperaなどにも，フレーム中に任意のコンテンツを表示させられるセキュリティ・ホール 2004年7月2日
●Secunia http://secunia.com/
┗SA11978:Multiple Browsers Frame Injection Vulnerability 2004年7月1日