米US-CERTは現地時間1月26日,Internet Explorer(IE)に見つかったセキュリティ・ホール(脆弱性)を公表した。細工が施されたWebページ(HTMLメール)を開くと,「Kill Bit」により無効にしたActiveXコントロールを呼び出される恐れがある。対策は,2005年12月に公開されたIEの修正パッチを適用すること。「Microsoft Update」などできちんとパッチを適用しているユーザーは影響を受けないので,何もする必要はない。
Kill Bitとは,特定のActiveXコントロールをIEから呼び出せないようにするために,レジストリに設定する特定の値のこと(マイクロソフトの情報)。特定のActiveXコントロールに関連したセキュリティ・ホールの影響を回避する方法として有効なため,修正パッチ(更新プログラム)が公開されるまでの一時的な対策として用いられることが多い。
IEは,読み込んだHTMLファイル(WebページやHTMLメール)にActiveXコントロールを呼び出す命令(HTML)が記述されている場合には,そのコントロールを呼び出す前にKill Bitをチェックし,Kill Bitが設定されているコントロールについては呼び出さない仕様になっている。しかしながら,HTMLファイルにある細工が施されていると,Kill BitをチェックすることなくActiveXコントロールを呼び出してしまう。
その結果,無効にしたはずのActiveXコントロールを勝手に呼び出されたり,そのコントロールを使って任意のプログラム(コマンド)を実行されたりする可能性がある。
対策は,「Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)」のパッチを適用すること。同パッチは2005年12月に公開されているので,Microsoft Updateなどを実施して,きちんとパッチを適用しているユーザーについては,既に対策が施されていることになる。
US-CERTでは,パッチの適用以外に,「IEのセキュリティ設定を変更してActiveXコントロールを無効にすること」および「IE以外のブラウザを利用すること」を回避策として挙げている。
◎参考資料
◆Microsoft Internet Explorer does not honor ActiveX kill bit
◆Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)
◆Internet Explorer で ActiveX コントロールの動作を停止する方法
◆JVNVU#998297 Internet Explorer に ActiveX Control の Kill bit 確認を回避できる脆弱性
