昨年末の話になるんですが、ESET NOD32が朝からYahooのスタイルシートファイルを脅威として大量検知しました。
NOD32はそのスタイルシートファイルを CVE-2010-3962 というIEの脆弱性をついた攻撃であると判断したようです。
CVE-2010-3962 は IE6~8 のスタイルシートの設定内容の順番により、作業のために確保したメモリを解放しない脆弱性に起因するもので、そのメモリ領域に悪質なコードを埋め込むことで任意のコードが実行できるというもののようです。
スタイルシートの設定項目の順番により判断しているようなので、おそらくYahoo側がスタイルシートの設定を変更し、たまたまIEの脆弱性につながる順番となって NOD が検知したんじゃないかと思います。
まったく人騒がせな話です。
一時期ゼロデイ攻撃となっていたようですが、怖い話です。
参考:
CVE - CVE-2010-3962 (under review) Common Vulnerabilities and Exposures(CVE)という脆弱性情報データベースでの情報です。
JVNVU#899748: Microsoft Internet Explorer における無効なフラグ参照に起因する脆弱性 日本での脆弱性対策情報ポータルサイトでの情報です。
マイクロソフト セキュリティ アドバイザリ (2458511): Internet Explorer の脆弱性により、リモートでコードが実行される Microsoftでの脆弱性情報です。
MS10-090 : Internet Explorer の重要な更新 Microsoftでの修正パッチ情報です。
情報処理推進機構:情報セキュリティ: Internet Explorer の脆弱性の修正について(MS10-090) IPAでの情報です。
Internet Explorer(CVE-2010-3962/MS10-090) 実際にこの脆弱性をついてバックドアを仕掛け侵入する動画が掲載されています。
Internet Explorer 6, 7, 8 Memory Corruption 0day Exploit CVE-2010-3962を使ったエクスプロイトコード(脆弱性実証コード)が公開されています。上記の動画もこのコードで検証したと思われます。
Internet Explorer Memory Corruption 0day Vulnerability これもエクスプロイトコードですが、脆弱性となるスタイルシートの順番です。たったこれだけですが脅威抜群です。