Internet Explorer(IE)に新たなセキュリティ・ホールが見つかったことを明らかにした
細工されたWebページを閲覧するだけで悪質なプログラムを勝手に実行される可能性があり
またすでにこのセキュリティ・ホールを突くプログラム(コード)がネット上で既に公表されているという
ただし影響を受けるのは
Microsoft OfficeやVisual Studio .NetなどをインストールしているPCのみ
まだパッチは公開されていないので、回避策はIEのセキュリティ設定やレジストリを変更すること
今回のセキュリティ・ホールは
IEのCOMオブジェクトの呼び出しに関するもので(IEから呼び出すことを意図していない)特定のCOMオブジェクトをOBJECTタグで呼び出そうとするHTMLファイル(Webページ/HTMLメール)を開くとIEが強制終了したり、ファイルに含まれる任意のプログラムを実行させられるおそれがあるという
このCOMオブジェクトは「msdds.dll(Microsoft Design Tools - Diagram Surface)」でデフォルトのWindowsには含まれない(対象バージョン 7.0.9064.9112 , 7.0.9446.0)
このCOMオブジェクトを含む製品をインストールしているPCのみが、今回のセキュリティ・ホールの影響を受けるということになる
現在調査中だが・Microsoft Visual Studio .Net
・.Net Framework 1.1
・Microsoft Office 2000/2002/XP
・Microsoft Project
・Visio
・Access 11 (2003) runtime
・ATI Catalyst driver installed by newer ATI video cards
の製品に対象バージョンのmsdds.dllが含まれる可能性がある
[追記]
Microsoftが米国時間19日に公表した情報によると
同ファイルがコンピュータにインストールされるのは、Visual Studio 2002をインストールしたときと、Office XPを特定の設定でインストールしたときに限られるという
さらに、Visual Studio 2002をインストールしたマシンでも、同Service Pack 1にアップデートしていれば影響はないとMicrosoftは説明している
Microsoftは修正を準備中で、まもなく登場するセキュリティパッチにこれを組み入れる予定とのこと
Microsoftでは,以下の設定変更を回避策としている
(1)
「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定を「高」にして,Active Xコントロールの実行前にはダイアログが出るようにする(実行できないようにする)
(2)
「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定で,「レベルのカスタマイズ」から「ActiveXコントロールとプラグイン」以下の各項目を「無効」あるいは「ダイアログを表示する」に設定する
(3)
レジストリを変更して(Kill Bitを設定して),IEからmsdds.dllを呼び出せなくする(参考資料)
(SANS Insitute社のパッチ)
加えてSANS Insituteでは
・「影響が出ないようなら,msdds.dllを削除する」
・「IEのコンポーネントを利用しない別のブラウザを使う」
ことも回避策として挙げている
また,「信頼できないWebページにはアクセスしない」ということも,有効な回避策の一つであるともいう
