セキュリティ関連のメーリング?リストやWebサイトにおいて，マイクロソフトが7月3日に公開した「ADODB.Streamを無効にするプログラム」を適用しても回避できない攻撃手法が公開されている。同プログラムはセキュリティ?ホールをふさぐパッチではなく， ADODB.StreamをInternet Explorer（IE）から使えないように設(shè)定（レジストリ）を変更するプログラムに過ぎないためだ（関連記事）。プログラムを適用したからといって，すべての攻撃を防げるわけではない。

　　6月以降，修正パッチをすべて適用したIEでも，WebページやHTMLメールを閲覧するだけで被害を受ける攻撃コードが出回っている。それらのコードのうち，「Download.Ject」などは，IEのセキュリティ?ホール「クロスドメインの脆弱性」とADODB.Streamを使う。 Windowsに含まれるADODB.Streamは，ファイルを読み書きできるActiveXコントロールで，セキュリティ?ホールとは何ら関係がない。Download.Jectなどがセキュリティ?ホールを突いたときに利用するだけだ。

　　マイクロソフトが公開したプログラムは，ADODB.StreamをIEから使えないように設(shè)定変更することで，Download.Jectなどの攻撃を回避できるようにする。セキュリティ?ホールをふさぐものではない。プログラムを適用しても，セキュリティ?ホールは殘っている。このため， ADODB.Stream以外のコントロールを使う攻撃は防げない。米US-CERTでも，「ADODB.Streamを使わない別の攻撃方法がありうることに注意する必要がある」としている。

　　実際，ADODB.Stream以外のコントロールを使う攻撃手法がインターネット上に出回っている。その攻撃手法を使えば，マイクロソフトが公開したプログラムを適用していても，任意のプログラムをダウンロードおよび実行させられるという。

　　米US-CERTでは，マイクロソフトから萬全の解決策（例えばパッチ）が公開されるまでは，ADODB.StreamをIEから使えないようにするだけではなく，「アクティブ スクリプトやActiveXコントロールを無効にする」「勝手に送られてきたメールなどに記載されたリンクはクリックしない」「ウイルス対策ソフトをきちんと使う」――ことを勧めている。

　　譯文對照：

　　在與安全相關(guān)的郵件列表和Web網(wǎng)站上，日前有人公布了一種即使安裝了日本微軟7月3日公布的“使ADODB.Stream失效的程序也無法避免的攻擊方法。微軟發(fā)布的程序并不是修補(bǔ)安全漏洞的補(bǔ)丁，而只是通過更改設(shè)定（注冊表）使得從Internet Explorer（IE）上無法再使用ADODB.Stream的程序。安裝該程序也并非可以防止所有的攻擊。

　　6月以來，即使是安裝了所有的修正補(bǔ)丁的IE，僅僅瀏覽Web網(wǎng)頁和Html郵件就可能遭受攻擊——這種攻擊代碼越來越多。在這類代碼中，“Download.Ject”等利用了IE的安全漏洞“跨域（Cross Domain）弱點(diǎn)”和ADODB.Stream。Windows里包含的ADODB.Stream是可以讀寫文件的ActiveX控件，與安全漏洞并沒有任何關(guān)系。僅是被Download.Ject利用來突破安全漏洞。

　　微軟此次發(fā)布的程序，通過更改設(shè)定使得從IE上無法再使用ADODB.Stream，以此來避免Download.Ject等的攻擊。但這并非是修補(bǔ)安全漏洞。即使安裝了該程序，安全漏洞依然存在。因此，無法防止通過ADODB.Stream以外的控件發(fā)起的進(jìn)攻。美國US-CERT也告誡說：“要警惕那些不使用ADODB.Stream的其它攻擊方法”。

　　實(shí)際上，互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)了使用ADODB.Stream以外控件的攻擊方法。使用這些方法，即使是安裝了微軟公布的程序，也有可能在不知情的情況下下載并運(yùn)行任意程序。

　　US-CERT建議說，在微軟公布完善的解決方案（比如補(bǔ)丁）之前，不僅要通過設(shè)定使IE無法再使用ADODB.Stream，還要“使javascript和ActiveX控件失效”、“不要點(diǎn)擊可疑郵件中給的鏈接”以及“使用殺毒軟件”。