マイクロソフトは9月15日,Internet Explorer(IE)が影響を受ける新たなセキュリティ・ホールに関する情報を公表した。このセキュリティ・ホールは,細工が施されたWebページにアクセスするだけで悪質なプログラムを実行される危険なもの。修正パッチは未公開。回避策はIEの設定変更など。
Daxctle.ocxに含まれるMicrosoft DirectAnimationパスのActiveXコントロールにはパッチ未公開のセキュリティ・ホールが存在することが第三者によって明らかにされた。このActiveXコントロールに細工が施されたデータが渡されるとメモリー破壊が発生し,任意のプログラムを実行される恐れがあるという(関連記事:IEにパッチ未公開のセキュリティ・ホール)。
つまり,このActiveXコントロールを呼び出すようなWebページにIEでアクセスするだけで,攻撃者が意図するプログラムを実行される可能性がある。実際,セキュリティ・ホールを突くようなWebページ(HTMLファイル)を作成するためのプログラムがネット上で公表されている。
これを受けてマイクロソフトでは,今回のセキュリティ・ホールの概要や回避策をまとめたセキュリティアドバイザリを公開した。同社では現在調査中としており,調査が終了次第,ユーザーのニーズに応じてセキュリティ情報および修正パッチをリリースするという。
セキュリティアドバイザリによれば,セキュリティ・ホールの影響を受けるのは,Windows 2000/XP/Server 2003上のIE。ただしWindows Server 2003については,既定の構成で利用している場合には,「セキュリティ強化の構成(英語情報)」が有効になっているので影響を受けない。
マイクロソフトが挙げる回避策は,(1)DirectAnimationパスのActiveXコントロールがIEから呼び出されないように「kill bit」を設定する,(2)IE上でActiveXコントロールが実行されないようにアクティブスクリプトの設定を無効にする(あるいは,実行時にダイアログが表示されるように設定する),(3)Daxctle.ocxのアクセス制御リスト(ACL)を変更する。それぞれの設定方法などについては,セキュリティアドバイザリを参照してほしい。
これらに加えて,「信頼できないWebサイトにはアクセスしない/信頼できないリンクはクリックしない」「IE以外のWebブラウザを使う」---ことも有効な回避策である。
