Microsoft Windows 8.1 およびそれ以前のバージョンは Internet Explorer 6 から 11 における XMLDOM XML インジェクション脆弱性に対して脆弱

インドのコンピュータ緊急対応チーム Cert-In は、Microsoft Windows 8.1 およびその以前のバージョンが XMLDOM ActiveX コントロールに存在する脆弱性のために危険にさらされていると警告しています。この脆弱性は Internet Explorer バージョン 6 から 11 を通じて実行される可能性があります。ハッカーや攻撃者はこの脆弱性を利用して XMLDOM XML コードを注入し、Windows PC ユーザーの個人情報を取得したり、Windows PC をゾンビコンピュータにしてウェブサイトへの DoS または DDoS 攻撃に参加させることができます。

脆弱性は Cert-In によって深刻なものとしてマークされていますが、CXSecurity の研究者は、これは中程度の低レベルの脆弱性である可能性があると述べています。CXSecurity の研究者が提供した全コードを再現します：

上記のコードは cxsecurity.com のご厚意により印刷されています

両方の脆弱性は以下のように分類されています：

1. 情報漏洩脆弱性 (CVE-2013-7331)
   この脆弱性は、コンピュータシステムに関する情報をウェブサイトのオペレーターに漏洩させるメソッドを含む XMLDOM ActiveX コントロールが存在するために発生します。リモート攻撃者は、この脆弱性を利用して、特別に作成されたウェブページを訪問させ、生成されたエラーコードを調べることによって、ローカルドライブの文字、ファイル、およびディレクトリ名などの機密情報を取得することができます。

Cert-in は、この脆弱性が実際に悪用されていると述べていますが、CXSecurity は、これはごくわずかな悪用につながる可能性があると述べています。

2. サービス拒否脆弱性 (CVE-2013-7332)
   この脆弱性は、エンティティ拡張中の再帰の不適切な検出によって存在します。リモート攻撃者は、ユーザーを多数のネストされたエンティティ参照を含む作成された XML ドキュメントに誘導することによって、この脆弱性を利用し、メモリと CPU の消費を引き起こし、サービス拒否条件 (DoS) を引き起こすことができます。その後、マシンは「ゾンビコンピュータ」に変わり、野生の DoS 攻撃や専用の分散サービス拒否 (DDoS) 攻撃を開始することができます。*

• 現時点では、Microsoft はこの脆弱性に対する修正/パッチを発行していませんが、コンピュータを保護したい場合は回避策があります。Internet Explorer の設定でインターネットおよびローカルイントラネットのセキュリティゾーン設定を「高」に設定する必要があります。これにより、Internet Explorer で XMLDOM ActiveX コントロールとアクティブスクリプトが無効になり、スクリプトは実行できなくなります。