情報セキュリティのメーリングリスト「Full-Disclosure」などによると、このほど「Month of ActiveX Bug」(MoAxB)が開始されたという。こうしたプロジェクトこれまで様々な対象に関して実施されており、たとえばInternet Explore(IE)やLinux Kernel、最近であればPHPが対象となったこともある。加えて、それらを実施した人物も様々で、今回は「shinnai」というハンドルネームを名乗る人物によって実施されている模様だ。
ActiveXコントロールはInternet Explorerにプラグインを追加するためによく使用されており、代表的な例としてAdobe FlashやShockwaveが挙げられる。したがってMoAxBの対象はInternet Explorerを使用して特定のサイトを閲覧した際に生じるバグになる。
すでに発見されたバグがMoAxBで公開されているが、Full-Disclosure内の議論では、「IEのハングを生じさせることは脆弱性ではない」「いや攻撃の可能性を提示するには十分」などの声が上がっている。また今回、IEのハングを生じさせるOfficeビューワ関連のActiveXコントロールのバグがいくつか発見されているが、これらはサードパーティ製であることなどから実際の影響そのものは大きくないと思われる。
|
|
|
「Month of ActiveX Bug」を標榜するサイト |
