悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2005年08月23日(火) 12時06分

『IE』の新たな脆弱性、Microsoft の対応前に公開japan.internet.com

製品ベンダーが未対応の脆弱性とその悪用方法が明らかになる事態は、対応する修正プログラムがなく、事前の警告があるわけでもないため、IT セキュリティの観点から見て、最も悩ましい問題の1つだ。

フランスのセキュリティ会社 FrSIRT は17日、Microsoft の『Internet Explorer』(IE) に新たな脆弱性が見つかったとして、Microsoft の対応を待たず勧告を発表した。これを受けて、 Microsoft は直ちにセキュリティ勧告を発表し、回避策を示した。

FrSIRT は Web サイトに掲載した勧告で、IE を通じて特定の COM オブジェクト (Msdds.dll) を呼び出すと、遠隔コード実行攻撃を受ける恐れがあることを示すため、概念実証コードを公開した。

同社は今回の情報を公にするにあたって、事前に Microsoft に通知しなかった。同社の広報担当は、この問題を発見した匿名の研究者が、情報を公開することを決めたと説明した。FrSIRT は同社の情報公開ポリシーに基づき、研究者が送ってきた情報を確認した上で公開した。しかし対策が先行するべきとの方針を取っている Microsoft の立場からすれば、FrSIRT の発表は責任ある情報公開姿勢とは言えないだろう。

Microsoft のセキュリティ勧告「 906267 」では、同社は該当の問題を調査中だが、現段階で同脆弱性の悪用による攻撃の試みや、顧客に影響が及ぶといった事態は、まだ報告がないと述べた。

同勧告の説明によると、問題の COM オブジェクト「Microsoft DDS Library Shape Control (Msdds.dll)」を IE で表示した Web ページから呼び出すと、IE が「予期せず終了」する可能性があるという。この状況において、遠隔コード実行を許しかねず、悪質な Web ページにアクセスした場合、攻撃を受ける恐れがある。勧告では Msdds.dll について、「この COM オブジェクトは、スクリプトに対して安全と認めたものではなく、IE で用いることを意図したものでもない」と記している。

なお同勧告によると、Msdds.dll は『Windows』に付属せず、『Visual Studio .NET 2002』の初期リリースをインストールしているユーザーが影響を受けるという。また、『Office XP Service Pack 3』をインストールしている場合も、直接的ではないが危険性があるという。同勧告では、影響を受ける Msdds.dll のバージョンは、「7.0.9064.9112」および「7.0.9446.0」だけとなっている。Microsoft は IE から Msdds.dll を呼び出せなくする方法など、複数の回避策を示した。

また、米国土安全保障省のコンピュータセキュリティ対策機関 US-CERT が出した セキュリティ勧告 でも、Visual Studio .NET 2002 をシステムにインストールしている IE ユーザーが、危険に晒 (さら) される可能性が高いと述べている。



デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html
(japan.internet.com) - 8月23日12時6分更新

http://headlines.yahoo.co.jp/hl?a=20050823-00000003-inet-sci