the man は最新のインターネットニュース、ソフトウェアのニュースを提供しています

the man is Internet&Software News Sumarry Blog

2005年08月19日

IEにまたパッチ未公開のセキュリティ・ホール

米Microsoftは米国時間8月18日
Internet Explorer(IE)に新たなセキュリティ・ホールが見つかったことを明らかにした
細工されたWebページを閲覧するだけで悪質なプログラムを勝手に実行される可能性があり
またすでにこのセキュリティ・ホールを突くプログラム(コード)がネット上で既に公表されているという

ただし影響を受けるのは
Microsoft OfficeVisual Studio .NetなどをインストールしているPCのみ
まだパッチは公開されていないので、回避策はIEのセキュリティ設定やレジストリを変更すること
今回のセキュリティ・ホールは
IEのCOMオブジェクトの呼び出しに関するもので(IEから呼び出すことを意図していない)特定のCOMオブジェクトをOBJECTタグで呼び出そうとするHTMLファイル(Webページ/HTMLメール)を開くとIEが強制終了したり、ファイルに含まれる任意のプログラムを実行させられるおそれがあるという
このCOMオブジェクトは「msdds.dll(Microsoft Design Tools - Diagram Surface)」でデフォルトのWindowsには含まれない(対象バージョン 7.0.9064.9112 , 7.0.9446.0)
このCOMオブジェクトを含む製品をインストールしているPCのみが、今回のセキュリティ・ホールの影響を受けるということになる
ms.gif現在調査中だが
 ・Microsoft Visual Studio .Net
 ・.Net Framework 1.1
 ・Microsoft Office 2000/2002/XP
 ・Microsoft Project
 ・Visio
 ・Access 11 (2003) runtime
 ・ATI Catalyst driver installed by newer ATI video cards
の製品に対象バージョンのmsdds.dllが含まれる可能性がある

[追記]
Microsoftが米国時間19日に公表した情報によると
同ファイルがコンピュータにインストールされるのは、Visual Studio 2002をインストールしたときと、Office XPを特定の設定でインストールしたときに限られるという
さらに、Visual Studio 2002をインストールしたマシンでも、同Service Pack 1にアップデートしていれば影響はないとMicrosoftは説明している
Microsoftは修正を準備中で、まもなく登場するセキュリティパッチにこれを組み入れる予定とのこと
Microsoftでは,以下の設定変更を回避策としている

(1)
「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定を「高」にして,Active Xコントロールの実行前にはダイアログが出るようにする(実行できないようにする)

(2)
「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定で,「レベルのカスタマイズ」から「ActiveXコントロールとプラグイン」以下の各項目を「無効」あるいは「ダイアログを表示する」に設定する

(3)
レジストリを変更して(Kill Bitを設定して),IEからmsdds.dllを呼び出せなくする(参考資料
(SANS Insitute社のパッチ)

加えてSANS Insituteでは
 ・「影響が出ないようなら,msdds.dllを削除する」
 ・「IEのコンポーネントを利用しない別のブラウザを使う」
ことも回避策として挙げている
また,「信頼できないWebページにはアクセスしない」ということも,有効な回避策の一つであるともいう
posted by edams at 12:58 | Comment(0) | TrackBack(8) | セキュリティ
この記事へのコメント

コメントを書く
eonkyomusic_120x60
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのTrackBack URL
http://blog.seesaa.jp/tb/6039670
この記事へのTrackBack


icon_sorce.gifセキュリティ情報(IE,msdds.dll)
ITmedia エンタープライズ:IEに新たな未パッチの脆弱性報告 パッチはまだありません。 当面は運用で回避されたし。
Kyan's BLOG II ( 2005-08-20 12:18 )


icon_sorce.gifIEにまた脆弱性…
IEに新たな脆弱性が発覚。 脆弱性の深刻度は、最高レベルの「重大」だとか。 先日...
N's Workshop :: BLOG ( 2005-08-20 15:16 )


icon_sorce.gifIEでMsdds.dllの脆弱性
脆弱性の話題ばかりでうんざりですが、 今度はIEに「極めて重大」なセキュリティホールです。  
Picasoのぴー ( 2005-08-20 17:08 )


icon_sorce.gifIEに新たな脆弱性か--マイクロソフトが調査中
Microsoftは、同社のウェブブラウザ「Internet Explorer」に新たな脆弱性が見つかったとする報告について調査を進めている。この脆弱性を悪用された場合、ユーザーのマシンが乗っ取られる..
マイクロソフト・インサイド・アウト ( 2005-08-20 18:12 )


icon_sorce.gifIEにパッチ未公開のセキュリティ・ホール、MS OfficeなどをインストールしているPCが影響を受ける
IEに新たなセキュリティーホール。Webページを閲覧するだけで、悪質なプログラムを勝手に実行される可能性があるらしい。また、セキュリティ・ホールを突くプログラム(コード)がネット上で既に公表されている..
One And Only ( 2005-08-20 20:05 )


icon_sorce.gifIEに新たな脆弱性!!
IEに新たな脆弱性が発見されたらしい!! 既に実証コードも公開されており、危険度は「極めて重大」とされているとのこと!! えっ!先日パッチあてたばかりなのに、また発見されちゃったのですか!! ..
ぬるいSEの生態 ( 2005-08-20 20:20 )


icon_sorce.gifMsdds.dllによるIE脆弱性
「影響は限定的」--MS、IEの脆弱性に関する詳細を明らかに(CNET Japan) Microsoftが、先週見つかったInternet Explorer(IE)のセキュリティホールについて、..
The Moon is Made of Cheese! ( 2005-08-22 12:31 )


icon_sorce.gifIEの未対策のセキュリティホールの続き
「IEの未対策のセキュリティホールhttp://twobcherry.seesaa.net/article/6095233.html」の後に、さらに情報が出てきました。 セキュリティ・ホールが発生す..
The Wind of Blessing ( 2005-08-22 13:53 )

×

この広告は1年以上新しい記事の投稿がないブログに表示されております。