2005年08月22日(月) 17時23分
IEの未パッチの脆弱性、SP未適用のVisual Studio .NET 2002などに影響(ITmediaエンタープライズ)
マイクロソフトは8月22日、セキュリティアドバイザリの記述を更新し、8月19日に公になった脆弱性の影響が及ぶ範囲を明らかにした。英語版アドバイザリについては米国時間8月19日に公開されていた。
この脆弱性は、Visual Studio 2002などをインストールした際に追加される「msdds.dll(Microsoft Design Tools - Diagram Surface)」ファイルに存在する。悪用されれば、仕掛けを施されたWebサイトを表示するだけでIEが強制終了したり、コードを実行させられるおそれがある。
マイクロソフトセキュリティアドバイザリによると、msdds.dllはデフォルトではWindows OSに搭載されない。また、msdds.dllにはいくつかのバージョンがあるが、脆弱性が存在するのはバージョン7.0.9064.9112/7.0.9446.0で、バージョンが7.0.9955.0/7.10.3077.0以降の場合は問題は存在しないという。
製品名で言うと、Microsoft Office 2003やAccess 2003、Visual Studio .NET 2003には脆弱性は存在しない。.NET Frameworkについても、デフォルトでは影響を受けない。
注意が必要なのは、Office XPやAccess 2002、Visual Studio .NET 2002をインストールしている場合だ。Office XPではService Pack 3、Access 2002でもService Pack 3と、最新のサービスパックを適用し、かつデフォルトの設定を変更していなければ問題はない。逆に言えば、サービスパックを適用していなかったり、たとえ適用していたとしてもMsvcr70.dllとMsvscp70.dllという2つのファイルからIEのプロセスへのアクセスが可能な状態になっていれば、脆弱性の影響を受ける恐れがある。具体的には、これら2つのファイルとmsdds.dllが同一のフォルダに存在する場合などだ。
またVisual Studio .NET 2002についても、Service Pack 1を適用していれば問題はないが、未適用の場合は脆弱性の影響を受ける恐れがある。
マイクロソフトではOffice XPやVisual Studio .NET 2002のサービスパックを適用するよう推奨するとともに、引き続き回避策を公開している。修正パッチについては、この脆弱性に関する調査が終わり次第、リリースする予定とのこと。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 8月22日17時23分更新
http://headlines.yahoo.co.jp/hl?a=20050822-00000023-zdn_ep-sci