Microsoft Internet Explorer の CSS インポートにおける解放済みメモリ使用の脆弱性（Scan Tech Report）

1.概要
Microsoft Internet Explorer (IE) には、CSS のインポート処理に不備が存在するため、解放済みメモリを使用してしまう脆弱性が報告されました。

悪質な Web ページを閲覧した場合に、リモートの第三者によりシステム上で不正な操作が実行される可能性があります。

この脆弱性は、Scan Tech Report Vol.409 で紹介した IE の CSS タグ処理に起因してメモリ領域が破壊される問題 (MS10-090, CVE-2010-3962) とは異なるIE の新たな 0-Day エクスプロイトになります。

現時点 (2010/12/27) においては、この脆弱性を悪用されたという報告がないと Microsoft は示唆していますが、今後、当該脆弱性を悪用するマルウェアが出現する可能性も考えられるため、対象のユーザは Microsoft より解消パッチがリリースされるまでの間、以下の回避策等を実施し今後の動向に注意することを推奨します。

2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2010-3971&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29

3.影響を受けるソフトウェア
Microsoft Internet Explorer 6
Microsoft Internet Explorer 7
Microsoft Internet Explorer 8
※サポートされる全ての Microsoft Windows OS 上の Internet Explorer

4.解説
Microsoft Internet Explorer (IE) の mshtml.dll は、IE の中核となる HTML レンダリングエンジンであり、HTML や Cascading Style Sheets (CSS) などを解析し表示する機能を提供します。

この IE の mshtml.dll には、外部の CSS をインポートすることを可能にする @import ステートメントの処理に不備が存在するため、@import を複数利用して再帰的に CSS をインポートした場合に、CSharedStyleSheet::Notify() 関数において解放済みの CStyleSheet オブジェクトのポインタを参照してしまう (use-after-free) 脆弱性が存在します。

この脆弱性を利用することで、リモートの攻撃者は、IE を実行するユーザの権限で任意のコード実行が可能となります。

この脆弱性は、0-Day エクスプロイトとして WooYun 氏が 2010/12/8 (米国時間) にメーリングリスト (Full Disclosure) に投稿し、IE 8 がクラッシュする問題だと報告していました。しかしながら、VUPEN Security などのセキュリティベンダが調査したところ、任意のコード実行が可能であることが判明し、2010/12/22 に Metasploit が脆弱性を突くモジュールを公開しました。同日 Microsoft は、アドバイザリを公開しその中で脆弱性を解消するパッチを現在準備中であるとし、回避策の実施あるいは、ファイアウォールおよびウイルス対策ソフトの利用を推奨しています。

5．対策
（Web非公開）

6．関連情報
（Web非公開）

7．エクスプロイト
（Web非公開）

8．想定される攻撃シナリオ
（Web非公開）

9．エクスプロイトの動作概要および結果
（Web非公開）

（執筆：株式会社ラック　サイバーリスク総合研究所　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html