2005年08月22日(月) 23時33分
IEの修正パッチ未公開の深刻な脆弱性、影響を受けない環境が判明(impress Watch)
マイクロソフトは、「Msdds.dll」のCOMオブジェクトが原因で発生するInternet Explorer(IE)の脆弱性について追加情報を公開した。この脆弱性は、サイトを閲覧しただけで外部から任意のコードを実行される恐れがあり、デンマークのSecniaによれば、危険度は5段階で上から2番目の“Highly critical”。特定の環境においてIE 5.01 SP4/5.5 SP2/6/6 SP1に影響がある。
脆弱性の原因となるMsdds.dll(Microsoft DDS Library Shape Control)は特定のソフトウェアに含まれるモジュール。Windowsそのものには含まれておらず、Msdds.dllが含まれていないソフトのみを利用している環境では脆弱性の影響を受けない。当初は影響を受けるMsdds.dllのバージョンが不明だったが、今回の追加情報で「7.0.9064.9112」と「7.0.9446.0」が影響を受けることが判明。「7.0.9955.0」「7.10.3077.0」またはそれ以降のバージョンであれば、脆弱性の影響を受けないという。
また、発表時点ではSecuniaなどのセキュリティベンダーによって、Msdds.dllを含んでいるOfficeシリーズやVisual Studio .NETシリーズにおいて影響があるとされていたが、このうち、Office 2003/XP SP3、ACCESS 2003/2002 SP3、Visual Studio .NET 2003/2002 SP1には影響がないことが確認された。
マイクロソフトによれば、Msdds.dll自体は再配布モジュールとして提供していないものの、同社と相互ライセンスを締結した外部ソフトウェアベンダーからMsdds.dllを含んだソフトが提供されている可能性はあるという。マイクロソフトでは今後も調査を継続するとしている。
関連情報
■URL
セキュリティアドバイザリ(906267)
http://www.microsoft.com/japan/technet/security/advisory/906267.mspx
Secuniaのアドバイザリ(英文)
http://secunia.com/advisories/16480/
■関連記事
・ IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも(2005/08/19)
( 鷹木 創 )
2005/08/22 16:54
(impress Watch) - 8月22日23時33分更新
http://headlines.yahoo.co.jp/hl?a=20050822-00000029-imp-sci