Vgx.dllのレジストリ登録を解除すると表示されるメッセージの例

[画像のクリックで拡大表示]

　米Microsoftは現地時間9月19日，Internet Explorer（IE）が影響を受ける新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで，悪質なプログラムを実行される恐れがある。このセキュリティ・ホールを突いてスパイウエアなどを勝手にインストールするWebサイトが複数確認されているという。修正パッチは未公開。対策はWindowsの設定変更など。

　9月15日に公表されたセキュリティ・ホール（関連記事）もIEに関するものだが，今回明らかにされたセキュリティ・ホールとは別物。今回のセキュリティ・ホールは，IEのコンポーネントの一つであるMicrosoft Vector Graphics Rendering library（Vgx.dll）が原因。Vgx.dllは，ベクター画像を描画するXMLベースの記述言語「Vector Markup Language（VML）」の実装である。

　このVgx.dllにバッファ・オーバーフローのセキュリティ・ホールが見つかった。Vgx.dllにある特定のデータが渡されるとバッファ・オーバーフローが発生し，IEが不正終了したり，そのデータに含まれる任意のプログラムを実行されたりする恐れがある。つまり，細工が施されたWebサイトへIEでアクセスするだけで，攻撃者が意図した任意のプログラムを実行される可能性がある。

　実際，セキュリティ・ベンダーなどの情報によれば，このセキュリティ・ホールを突くWebサイト---ゼロデイ攻撃を仕掛けるWebサイト---が複数確認されているという。例えば，アクセスするだけでスパイウエアを勝手にインストールするようなWebサイトが見つかっている。

　現時点では修正パッチ（セキュリティ更新プログラム）は未公開。Microsoftでは，次回のセキュリティ情報公開日である10月10日（日本時間では10月11日）までに修正パッチをリリースすることを目指すという。ユーザーのニーズによっては，それよりも早くリリースする可能性もあるとする。

　現時点での回避策は，（1）Vgx.dllをレジストリから削除する（レジストリ登録を解除する），（2）ACL（Access Control List）を変更して，Vgx.dllへのアクセス制限を厳しくする，（3）IEのセキュリティ設定を厳しくする，（4）HTMLメールをテキスト・メールとして表示するようにする---など。

　回避策の設定方法などについてはMicrosoftの情報を参照してほしい。例えば（1）については，「ファイル名を指定して実行」から「regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll」を実行する。レジストリからの削除が成功すると，例えば「C:\Program Files\Common Files\Microsoft Shared\VGX\vgx.dllの DllUnregisterServer は成功しました。」といったメッセージが表示される（「C:\Program Files」の部分は環境によって異なる）。（1）を実行すると，IEに限らずvgx.dllを利用するアプリケーションすべてにおいて，VMLのレンダリング（解釈および描画）はできなくなる。

　（3）については，例えばWindows XP SP2マシンでは，「ツール」メニューの「インターネット オプション」から「セキュリティ」タブを選択し，「インターネット」ゾーンと「イントラネット」ゾーンにおいて，セキュリティ設定を変更する。具体的には，「レベルのカスタマイズ」で表示される「セキュリティの設定」中の「バイナリ ビヘイビアとスクリプト ビヘイビア」を「無効にする」に設定する。

　もちろん，「信頼できないWebサイトへはアクセスしない」「IE以外のWebブラウザを利用する」---ことも有効な回避先である。

・米Microsoftの情報