IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも

記事検索

最新ニュース

■

レゴ、小学生向けプログラミング教材「WeDo 2.0」発売

■

マクロウイルスを知らない世代の社員が狙われる？　「Office文書を開いて感染」攻撃が再び増加

■

新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ

■

Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

■

インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供

■

筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売

■

大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成

■

「インターネット白書2016」発売、20周年記念の特別版

■

NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売

■

Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB／秒以上で高速転送

■

公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開

■

Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始

■

BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ

■

ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1％

■

LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更

■

LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に

■

Microsoft、Officeと他社クラウドストレージとの連携を強化

■

Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利

■

ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始

■

Google「Chrome 48」iOS版ではクラッシュ率70％低下、JavaScript実行速度も大幅改善

IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも

　米Microsoftは18日、「Msdds.dll」のCOMオブジェクトが原因で、Internet Explorer（IE）で悪意のあるWebサイトを閲覧しただけでIEが不意に終了してしまうなどの恐れがある脆弱性をセキュリティアドバイザリ（906267）として公表した。サイトを閲覧しただけ外部から任意のコードを実行させる可能性もあり、デンマークのSecniaによれば、危険度は5段階で上から2番目の“Highly critical”。IE 5.01 SP4/5.5 SP2/6/6 SP1に影響がある。

　Msdds.dll（Microsoft DDS Library Shape Control）は特定のソフトウェアに含まれるモジュールで、Msdds.dllが含まれていないソフトのみを利用している環境では脆弱性の影響を受けない。なお、Msdds.dllのモジュール自体は、Office 2003/XP/2002/2000やVisual Studio .NETの一部シリーズなどに含まれている。Msdds.dllが他社製品に含まれているという報告もあり、正確を期すにはPC全体を対象にMsdds.dllを検索するのが良いだろう。

　ただし、Msdds.dllが含まれているソフトを利用していても、そのモジュールのバージョンによっては脆弱性が発生しない場合もある。米SANS Instituteでは、脆弱性を確認したモジュールのバージョンは「7.0.9064.9112」で、これ以降のバージョン、具体的には「7.10.x」であれば脆弱性は確認できなかったという。一方、Microsoftの日本法人では「SANSがどのような方法でバージョンを特定したのかはわからない」とコメント。Microsoftでも脆弱性のあるモジュールバージョンの特定を急いでいるという。

　現時点での脆弱性回避策は、Msdds.dllをIEから呼び出せないように設定を変更することだ。Microsoftでは、1）「インターネットゾーン」や「イントラネットゾーン」のセキュリティ設定を「高」にし、Active Xコントロールの実行前にはダイアログが出るようにすること、2）「インターネットゾーン」や「イントラネットゾーン」のセキュリティ設定で「レベルのカスタマイズ」から「ActiveXコントロールとプラグイン」の各項目を「無効」もしくは「ダイアログを表示する」にすること、3）レジストリを変更することを挙げている。

　また、SANS Instituteでは、Msdds.dllをIEから呼び出せないようにレジストリを自動的に変更するツールを提供している。

　なお、Microsoftによると「Msdds.dllはスクリプト言語にとっては安全ではなく、IEで利用されることを想定していなかった」という。同社では、脆弱性を修正する月例セキュリティ更新プログラム（パッチ）もしくは月例外の緊急パッチの配布も視野に入れつつ、調査が終了次第、ユーザーの要望に応じて適切に対応するという。「Javaprxy.dllの脆弱性」の際に配布した無効化ツールと同様のツールを提供する可能性もあるとしている。

関連情報

■URL
　 Microsoftのセキュリティアドバイザリ（英文）
　 http://www.microsoft.com/technet/security/advisory/906267.mspx
　 Internet ExplorerでActiveXコントロールの動作を停止する方法
　 http://support.microsoft.com/kb/240797/ja
　 Secuniaのアドバイザリ（英文）
　 http://secunia.com/advisories/16480/
　 SANS Instituteのアドバイザリ（英文）
　 http://isc.sans.org/diary.php?date=2005-08-18
　 SANS Instituteの無効化ツールダウンロードサイト（英文）
　 http://isc.sans.org/msddskillbit.php

■関連記事
・マイクロソフト、IEなどを対象にした深刻度“緊急”を含むパッチ6件公開（2005/08/10）
・ 8月のマイクロソフトセキュリティ更新を確認する（2005/08/10）
・ Microsoftが「Javaprxy.dll」無効化パッチ提供、IEの深刻な脆弱性を回避（2005/07/06）

（鷹木創）
2005/08/19 15:08

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.