2005年08月19日(金) 12時29分
IEの未パッチの脆弱性、回避策をMicrosoftやSANSが公開(ITmediaエンタープライズ)
米Microsoftは8月18日、Internet Explorerに発見された新たな脆弱性に関するセキュリティアドバイザリを公開し、推奨される回避策を公開した。
この脆弱性はデフォルトのWindowsには影響せず、Microsoft OfficeやVisual Studioといったアプリケーションを導入しているPCにのみ存在する。これらのアプリケーションによってインストールされるmsdds.dll(Microsoft Design Tools - Diagram Surface)ファイルに問題があり、悪意あるWebサイトを訪れるだけで、任意のコードを実行されるおそれがある。
既に実証コードが公になっているが、Microsoftからはこの脆弱性に対するパッチはリリースされていない。同社は代わりに、セキュリティアドバイザリを公開し、いくつかの回避策を挙げた。
1つは、IEのセキュリティ設定を変更し、インターネット ゾーンやイントラネット ゾーンのセキュリティレベルを「高」にするなどして、ActiveXコントロールの実行を無効にするか、警告ダイアログを表示させ制限すること。
また、msdds.dll COMオブジェクトをIEから呼びさせないよう、レジストリを変更することも回避策になるという。この作業は、レジストリエディタ上で手動で行うこともできるが、SANSではこれを自動化するためのツールを公開した。
また、regsvr32を用いてmsdds.dll COM コンポーネントをシステムから解除したり、msdds.dllに対するアクセス制限を強化するといった手立てもあるという。
ほかにSANSでは、影響がなければmsdds.dll自体を削除したり、IEのエンジンを利用しない他のWebブラウザを利用するといった回避策を紹介している。
なおSANSによれば、問題が存在するのはmsdds.dllのバージョン7.0.9064.9112で、7.10.xなど新しいバージョンには脆弱性の影響を受けない。SANSに寄せられた情報によると、Microsoft OfficeやVisual Studio .Net、Visio、Access 11、さらにATIのビデオカードによってインストールされるATI Catalystドライバにもこのファイルが含まれる可能性があるといい、引き続き情報の収集が行われている。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 8月19日12時29分更新
http://headlines.yahoo.co.jp/hl?a=20050819-00000021-zdn_ep-sci