マイクロソフトは9月27日,Internet Explorer(IE)が影響を受けるセキュリティ・ホールを修正するパッチを公開した。WebページやHTMLメールを開くだけで被害に遭う恐れがある危険なセキュリティ・ホールであり,これを悪用するWebサイトも複数確認されている。Windowsユーザーはできるだけ早急にパッチを適用したい。
今回のセキュリティ・ホールは,IEとともにインストールされるコンポーネントの一つであるMicrosoft Vector Graphics Rendering library(Vgx.dll)に関するもの。Vgx.dllはベクター画像を描画するXMLベースの記述言語「Vector Markup Language(VML)」の実装で,IE以外のアプリケーションから呼び出される場合もある。
このセキュリティ・ホールは,9月20日前後に第三者によってネット上で公表された。セキュリティ・ホールを突くプログラムも同時に公開されたため,以降,このセキュリティ・ホールを突くようなWebサイトが続出している(これまでの経緯は,記事末の関連記事を参照)。
このためマイクロソフトでは,毎月第2火曜日(米国時間)の“月例セキュリティ情報公開日”を待たずに,今回,セキュリティ情報と修正パッチ(セキュリティ更新プログラム)を緊急リリースした。セキュリティ・ホールの深刻度は,Windows 2000/XP/Server 2003が最悪の「緊急」。Windows Server 2003 SP1だけが,上から3番目(下から2番目)の「警告」に設定されている。すべてのWindowsが影響を受けるので,Windowsユーザーはすぐにパッチを適用したい。
修正パッチは,自動更新機能やMicrosoft Update,Windows Updateから適用できる。セキュリティ情報のページからもダウンロード可能。
なお今回のセキュリティ・ホールの回避策として,Vgx.dllのアクセス制御リスト(ACL)を変更しているユーザーは,パッチを適切にインストールできない場合があるので要注意。パッチの適用前に,ACLを変更前の状態に戻す必要がある。具体的な手順については,セキュリティ情報の「脆弱性の詳細」中の「『VMLのバッファオーバーランの脆弱性』の回避策 - CVE-2006-4868」にある「VGX.DLL のアクセス制御リスト(ACL)をさらに制限的であるように変更する」の項を参照してほしい。
