2005年08月22日(月) 17時23分

IEの未パッチの脆弱性、SP未適用のVisual Studio .NET 2002などに影響（ITmediaエンタープライズ）

　マイクロソフトは8月22日、セキュリティアドバイザリの記述を更新し、8月19日に公になった脆弱性の影響が及ぶ範囲を明らかにした。英語版アドバイザリについては米国時間8月19日に公開されていた。

　この脆弱性は、Visual Studio 2002などをインストールした際に追加される「msdds.dll（Microsoft Design Tools - Diagram Surface）」ファイルに存在する。悪用されれば、仕掛けを施されたWebサイトを表示するだけでIEが強制終了したり、コードを実行させられるおそれがある。

　マイクロソフトセキュリティアドバイザリによると、msdds.dllはデフォルトではWindows OSに搭載されない。また、msdds.dllにはいくつかのバージョンがあるが、脆弱性が存在するのはバージョン7.0.9064.9112／7.0.9446.0で、バージョンが7.0.9955.0／7.10.3077.0以降の場合は問題は存在しないという。

　製品名で言うと、Microsoft Office 2003やAccess 2003、Visual Studio .NET 2003には脆弱性は存在しない。.NET Frameworkについても、デフォルトでは影響を受けない。

　注意が必要なのは、Office XPやAccess 2002、Visual Studio .NET 2002をインストールしている場合だ。Office XPではService Pack 3、Access 2002でもService Pack 3と、最新のサービスパックを適用し、かつデフォルトの設定を変更していなければ問題はない。逆に言えば、サービスパックを適用していなかったり、たとえ適用していたとしてもMsvcr70.dllとMsvscp70.dllという2つのファイルからIEのプロセスへのアクセスが可能な状態になっていれば、脆弱性の影響を受ける恐れがある。具体的には、これら2つのファイルとmsdds.dllが同一のフォルダに存在する場合などだ。

　またVisual Studio .NET 2002についても、Service Pack 1を適用していれば問題はないが、未適用の場合は脆弱性の影響を受ける恐れがある。

　マイクロソフトではOffice XPやVisual Studio .NET 2002のサービスパックを適用するよう推奨するとともに、引き続き回避策を公開している。修正パッチについては、この脆弱性に関する調査が終わり次第、リリースする予定とのこと。

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20050822-00000023-zdn_ep-sci