2005年08月19日(金) 15時33分
IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも(impress Watch)
米Microsoftは18日、「Msdds.dll」のCOMオブジェクトが原因で、Internet Explorer(IE)で悪意のあるWebサイトを閲覧しただけでIEが不意に終了してしまうなどの恐れがある脆弱性をセキュリティアドバイザリ(906267)として公表した。サイトを閲覧しただけ外部から任意のコードを実行させる可能性もあり、デンマークのSecniaによれば、危険度は5段階で上から2番目の“Highly critical”。IE 5.01 SP4/5.5 SP2/6/6 SP1に影響がある。
Msdds.dll(Microsoft DDS Library Shape Control)は特定のソフトウェアに含まれるモジュールで、Msdds.dllが含まれていないソフトのみを利用している環境では脆弱性の影響を受けない。なお、Msdds.dllのモジュール自体は、Office 2003/XP/2002/2000やVisual Studio .NETの一部シリーズなどに含まれている。Msdds.dllが他社製品に含まれているという報告もあり、正確を期すにはPC全体を対象にMsdds.dllを検索するのが良いだろう。
ただし、Msdds.dllが含まれているソフトを利用していても、そのモジュールのバージョンによっては脆弱性が発生しない場合もある。米SANS Instituteでは、脆弱性を確認したモジュールのバージョンは「7.0.9064.9112」で、これ以降のバージョン、具体的には「7.10.x」であれば脆弱性は確認できなかったという。一方、Microsoftの日本法人では「SANSがどのような方法でバージョンを特定したのかはわからない」とコメント。Microsoftでも脆弱性のあるモジュールバージョンの特定を急いでいるという。
現時点での脆弱性回避策は、Msdds.dllをIEから呼び出せないように設定を変更することだ。Microsoftでは、1)「インターネットゾーン」や「イントラネットゾーン」のセキュリティ設定を「高」にし、Active Xコントロールの実行前にはダイアログが出るようにすること、2)「インターネットゾーン」や「イントラネットゾーン」のセキュリティ設定で「レベルのカスタマイズ」から「ActiveXコントロールとプラグイン」の各項目を「無効」もしくは「ダイアログを表示する」にすること、3)レジストリを変更することを挙げている。
また、SANS Instituteでは、Msdds.dllをIEから呼び出せないようにレジストリを自動的に変更するツールを提供している。
なお、Microsoftによると「Msdds.dllはスクリプト言語にとっては安全ではなく、IEで利用されることを想定していなかった」という。同社では、脆弱性を修正する月例セキュリティ更新プログラム(パッチ)もしくは月例外の緊急パッチの配布も視野に入れつつ、調査が終了次第、ユーザーの要望に応じて適切に対応するという。「Javaprxy.dllの脆弱性」の際に配布した無効化ツールと同様のツールを提供する可能性もあるとしている。
関連情報
■URL
Microsoftのセキュリティアドバイザリ(英文)
http://www.microsoft.com/technet/security/advisory/906267.mspx
Internet ExplorerでActiveXコントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
Secuniaのアドバイザリ(英文)
http://secunia.com/advisories/16480/
SANS Instituteのアドバイザリ(英文)
http://isc.sans.org/diary.php?date=2005-08-18
SANS Instituteの無効化ツールダウンロードサイト(英文)
http://isc.sans.org/msddskillbit.php
■関連記事
・ マイクロソフト、IEなどを対象にした深刻度“緊急”を含むパッチ6件公開(2005/08/10)
・ 8月のマイクロソフトセキュリティ更新を確認する(2005/08/10)
・ Microsoftが「Javaprxy.dll」無効化パッチ提供、IEの深刻な脆弱性を回避(2005/07/06)
( 鷹木 創 )
2005/08/19 15:08
(impress Watch) - 8月19日15時33分更新
http://headlines.yahoo.co.jp/hl?a=20050819-00000003-imp-sci