Palm84 某所の日記

有為のクマにかくれり~

MS05-002とCoolWebSearch

Windows98/MEご使用の方は注意しといた方がいいと思います。下記の修正パッチがまだ配布されていません。

2000/XPは1月にリリース済です。(XP SP2は影響受けません。)

Windows 98、Windows 98 Second Edition または Windows Millennium Edition は更新プログラムで解決される脆弱性による深刻な影響を受けますか?

はい。Windows 98、Windows 98 Second Edition または Windows Millennium Edition はこの脆弱性による深刻な影響を受けます。これらのプラットフォーム用の「緊急」のセキュリティ更新プログラムはこのセキュリティ情報の一部として提供されるそのほかのセキュリティ更新プログラムと同時に利用可能となりません。それらのセキュリティ更新プログラムは、セキュリティ情報のリリース後、できるだけ早くリリースされる予定です。これらのセキュリティ更新プログラムが利用可能になると、Windows Update Web サイトからのみ、ダウンロード可能となります。深刻度評価システムに関する詳細情報は、次の Web サイトをご覧下さい。

心配は一応してましたが、まぁこんなのそんなに使われないんじゃないかなと楽観視してました。んで、久々にチェックの旅(あっと【view-source:】ですってば)に出ましたらなんとCoolWebSearch系ととして有名なサイトに置かれてました。検出名は以下のものです。

実はどんなことが可能なのかよくわかっていないのですが、Scriptを無効にしていてもシステムクラッシュさせることも可能であることは実証コードで確認しました。ご注意ください。(CSS無効にしたらどうなんでしょうか?・・@オシエテクンです)

【追記】Windows98SE+IE6SP1 ではページは表示されますが「不正な処理...」でIEが落ちてしまいます。セキュリティ設定【高】、CSS無効でも同様です。ダウンローダーを起動させたりすることが可能みたいですねぇ。これを使ったトロイも発生しているもよう。注意注意です。


この下のものはWindows Updateで修正済ですので参考程度に。

このサイトには以下の不正なExploitも置かれてます。(但し、Windows Updateされてる場合はウイルス対策ソフトなどで検出されなくても問題はないです。

Nortonがこれを検出しなかったので「あれ?」ってなりました。ソースをよく見ると余計な文字がいくつか付加されてました。10進数表記?が混じってました。Norton避けみたいです。(それでもマカフィーは検出しました。)。この検出逃れの手法は増えているようです。

これ(MS04-013)によってTrojan dropperCHM_CODEBASE.A HTML_CIDEXPLT.A)が実行される仕組みのようです。MS02-015狙いかな。Spybot1.3が「DSO Exploit」を定義から外さないのはもしかしてこれがあるからかなとか思ってたりします。(←憶測ですよー)