ADODB.Stream (Download.Jectの対策)
「ADODB.Stream」のActiveX Controlを無効化するパッチが出た。WindowsUpdateでも適用可能。だがこれだけではだめでADODB.StreamのほかにShell.Applicationでも問題があるようだ。(これはかなり前から指摘されて放置されている)
- Critical Update for Microsoft Data Access Components - Disable ADODB.Stream object from Internet Explorer (KB870669) - 日本語
- Internet Explorer Update to Disable ADODB.Stream ActiveX Control(US-CERT)
- Download.Ject に関する情報(マイクロソフト)
- ADODB.Streamを取り除いてもなお残るセキュリティーホール(hoshikuzu | star_dust の書斎)
- ADODB.Streamを取り除いてもなお残るセキュリティーホール(その2)(hoshikuzu | star_dust の書斎)
- マイクロソフト,IEへの攻撃を回避するプログラムを公開(ITPro)
MSのパッチで変更される...ActiveX Compatibility\{00000566-0000-...のキーだけでなく...ActiveX Compatibility\{13709620-C279-...の方にもdword:00000400が必要。(NTBUGTRQ)のリンク参照。eEye製のIESecurityRegFixerだとこの辺もやってくれる。proof of concept exploit pageではMSパッチ適用状態でもcmd.exeが実行される。IESecurityRegFixer使用後は実行しなくなる。(検証ページは自己責任で)
- Registry Fix For Variant of Scob(NTBUGTRAQ)
- 'Zero-Day' Internet Explorer Flaw Detected(eEye)
- IESecurityRegFixer.zip(eEye)
- proof of concept exploit page(62.131.86.111)
注)
ぢつは手元のマシンではADODB.Streamのレジストリキーがすでに設定されていて自動更新に出てこなかった。WindowsUpdateにも出てこない。インストールした記憶無いのに(汗 ということで微妙に挙動が違うかも。調べてみて全部Seculogさんとこに載ってますなorz。と私もこの辺で放置しちゃうプレイ(w