Palm84 某所の日記

有為のクマにかくれり~

Norton Internet Security が原因で2ちゃんねるにアクセスできない

なんか2ch方面ではえらい騒ぎになってるみたいです。私は言うと(2006バージョンですが)、「AutoBlock」だけ無効にすれば支障なかったりするんですけど。

あぁ、でもこの問題について書かれているblogの該当部分付近だけが削除されてたりしますねぇ。

Norton Internet Security の「侵入防止」(侵入検知)機能が「HTTP MSIE JavaScript OnLoad Rte CodeExec」を検出して遮断、サイトがAutoBlockに自動登録されて一定時間(初期設定では30分かな?)遮断されてアクセスできなくなってしまう問題です。

実際にスクリプトとして動くbody要素のソースではなく、ただのテキストにも反応してしまうことが問題となってるわけです。

【12/1 03:03 追記】すみません私は支障なかったんで忘れてました。yamagataさん(http://yamagata.int21h.jp/d/?date=20051129#p02)が書かれてる通りですけど、メアド欄にも反応するので専用ブラウザでのNGワード登録が効かないとか、(本文にはないので)目視できないこととかも問題だったようです。え〜、私の環境ではyamagataさんの日記もプッツンされます。信頼ゾーンに入れてたりします...こわいよ〜(マテ)

ちなみに下記の INTERNET Watch の記事はなんか勘違いされてるみたいです。Bloodhound.Exploit.54はNorton AntiVirus のウイルス定義ファイルです。私の環境では、ローカルファイル・http接続のいづれも AntiVirusでは検出しません。

問題の脆弱性がこれ。

まとめページまでできてるのですね。

で、実物の攻撃についてはどうなのかと言うと、該当ソース部分のみ除去されます。IEは落ちません。つまり、実際の受動的攻撃についてはかなり有効でブロックが可能だということですね。他のウイルス対策ソフトでは検出しても例外なくIEはエラーを出して落ちてました。(※マカフィーは一昨日の時点では該当部分のみ除去してくれましたが、現時点ではIEが落ちてしまいます。NOD32、ウイルスバスターも現時点では検出しなくなってます。)

【12/1追記】Norton AntiVirus でもBloodhound.Exploit.54として検出されるようになりました。ただし、侵入防止(侵入検知)が無効な場合はIEはエラーを出して落ちます。(※スクリプトが有効な場合)

この脆弱性を狙った「受動的攻撃」に対する最も有効な対策は、IEで「スクリプト」をオフにすることです。またはセキュリティ設定【高】でもIEはエラーを出しません。(IE系以外のブラウザでは影響は受けませんし。)

つまり、普段からIEの設定について気を配ってる人、スクリプトなどを適宜切り替えて使用している場合はそれほど危険はないかもです。

でもいちばんの問題は今回の脆弱性が誰でも悪用可能な至極簡単なものも含んでいる(※body onload〜だけでなく)ということだとわたしは思ってたりします。早くパッチが出て欲しいです。