パスワードを忘れた? アカウント作成
Close
229653 story
セキュリティ

Windows XP/2003のヘルプ機能を悪用したリモート攻撃が確認される 16

ストーリー by hylom
ぽちっとな 部門より

あるAnonymous Coward 曰く、

Windows XP/2003のhcpプロトコルに脆弱性が発見され、これを悪用した攻撃が確認されたとのこと(Internet Watchの記事)。この脆弱性は6月11日に公開されたもので、「hcp://」で始まる細工されたURLをクリックするだけで、任意のコマンドを実行させられる危険性があるとのこと。短く分かりやすい攻撃コードが出回っているため注意してください(詳細な情報, デモ)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows XP/2003のヘルプ機能を悪用したリモート攻撃が確認される More

  • Workarounds適用で対処終了、以上 (スコア:5, 参考になる)

    by shibuya (17159) on 2010年06月15日 21時04分 (#1780560) 日記

    Microsoft Security Advisory [microsoft.com]の回避策(Workarounds)の示す通りに
    HKCR/Hcpをファイルにexportした上でdeleteが手っ取り早いのでそうしました。
    個人的にどうしてもこれなしで済ませられないということはないはず(と信じたい)

    • Re: (スコア:0)

      by Anonymous Coward

      最初からそのレジストリキーないんだが・・・

      同じ脆弱性がでた2004年のときに削除したかなぁ?
      http://internet.watch.impress.co.jp/cda/news/2004/05/12/3064.html [impress.co.jp]

      • Re: (スコア:0)

        by Anonymous Coward

        うちのもHCPキーは無かったです。
        ヘルプセンターの誰でも招待機能なんて怖ろしい物、
        XPをインストール後すぐに無効にした覚えが。

  • デモページでウイルス検出 (スコア:4, 参考になる)

    by chokkan (40227) on 2010年06月16日 18時41分 (#1781075)

    デモのリンクをクリックしたら、ウイルスとして検出されました(シマンテック製品)。
    デモページに書かれているように、会社などのパソコンでアクセスするのは控えた方がよさそうです。

    • Re:デモページでウイルス検出 (スコア:4, 参考になる)

      by kei100 (5854) on 2010年06月16日 21時14分 (#1781147)

      Microsoft Security Essentials [microsoft.com]でも出ますね。

      検出された項目 | 警告レベル | 推奨 | 状態
      Exploit:Win32/CVE-2010-1885.A | 重大 | 削除 | 一時停止済み

      カテゴリ: Exploit

      説明: This program is dangerous and exploits the computer on which it is run.

      推奨: Remove this software immediately.

      プライバシーを侵害する、またはコンピューターに損害を与えるおそれのあるプログラムが Microsoft Security Essentials によって検出されました。これらのプログラムが使用するファイルは削除されず、引き続きアクセスできます (推奨されません)。これらのファイルにアクセスするには、[許可] 操作を選択して [操作の適用] をクリックします。このオプションを使用できない場合は管理者としてログオンするか、ローカル管理者にお問い合わせください。

      項目:
      file:C:\Users\foo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\????????\hcbypass[1].htm
      file:C:\Users\foo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\????????\hcbypass[1]

      この項目に関するオンラインの詳細情報を表示します。 [microsoft.com]

      シェア
      親コメント
    • デモページのURLをパターンファイルに登録しただけだったりして!?
      シェア
      親コメント

    • Re: (スコア:0)

      by Anonymous Coward
      Norton先生が入ってれば安心というわけですな。

    • Re: (スコア:0)

      by Anonymous Coward

      Kasperskyも遮断しました(警告音無し)。

      このWebページはウイルスに感染しています

      次のウイルスが見つかりました:Exploit.HTML.HCP.b

  • で、MSが対策を検討するまもなく公開するのはユーザーを危険にさらすと批判し
        http://www.itmedia.co.jp/enterprise/articles/1006/11/news019.html

    限定的ではあるものの攻撃が確認されているそうです。
        http://www.itmedia.co.jp/enterprise/articles/1006/11/news019.html

  • 最初何のことかわかりませんでした。

    "Windows XPおよびWindows Server 2003"としてくれた方が分かり易かったです。

  • ASXのHtmlView (スコア:0)

    by Anonymous Coward on 2010年06月16日 18時42分 (#1781077)

    WMP経由でIEコンポーネントにページを開かせることができるのか…
    IEの脆弱性がクロスブラウザになって何とも恐ろしい仕様ですね…

  • また一つ (スコア:0)

    by Anonymous Coward on 2010年06月16日 21時26分 (#1781156)
    Vista/7へ移行する理由が生まれた。

  • Firefoxの場合 (スコア:0)

    by Anonymous Coward on 2010年06月17日 5時02分 (#1781294)

    network.protocol-handler.external.hcp はデフォルトで false になってますね。

    とりあえず安全と考えていいのかな?

    • Re:Firefoxの場合 (スコア:1, 参考になる)

      by Anonymous Coward on 2010年06月17日 5時20分 (#1781295)

      WMPプラグインが無効になっているかも確認しないとダメですよ。

      シェア
      親コメント

      • Re: (スコア:0)

        by Anonymous Coward

        ありがとうございます。
        もちろん無効にしてます;-)

  • とりあえず、IE8にしておけば (スコア:0)

    by Anonymous Coward on 2010年06月17日 13時51分 (#1781472)

    セキュリティ設定を変更していなければ、Webサイトを開いたときにポップアップで実行するかどうか訊いていくるので、
    自動実行されることはないかと。
    IE7以下ではどうなるかは知らない。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」