米DeterminaとZeroday Emergency Response Team(ZERT)は米国時間9月29日および9月30日,Windowsの新しいセキュリティ・ホールを修正するパッチをそれぞれリリースした。米Microsoftからの“公式パッチ”は米国時間10月10日にリリースされる予定。セキュリティ組織の米SANS Instituteなどでは,公式パッチがリリースされるまでは,設定変更などで回避することを勧めている。
WindowsのActiveXコントロール「WebViewFolderIcon(webvw.dll)」には,パッチ未公開のセキュリティ・ホールが存在する。このセキュリティ・ホールを突いて任意のプログラムを実行させるコード(Exploit)がネット上で公開されたため,米US-CERTなどは現地時間9月27日に警告した(関連記事:パッチ未公開セキュリティ・ホールを突くプログラム出現)。
その後,このセキュリティ・ホールを悪用する攻撃サイトが続出(関連記事:新しい脆弱性を狙う攻撃サイト続出)。回避策を施していない環境では,そういった攻撃サイトへアクセスするだけで悪質なプログラムを実行される恐れがある。
マイクロソフトは9月29日,設定変更などによる回避策を公表したものの,修正パッチは未公開(関連記事:パッチ未公開セキュリティ・ホールの回避策を公開)。修正パッチは米国時間10月10日(日本時間10月11日)にリリースする予定であるという。
このためセキュリティ・ベンダー/グループのDeterminaとZERTでは,今回のセキュリティ・ホールを修正する“非公式”のパッチを用意し,それぞれのサイトで公開した。DeterminaとZERTは,以前にも非公式パッチをリリースしたことがある。
Determinaは2006年3月に,IEの「createTextRange()」メソッドに関するセキュリティ・ホールを修正するパッチをリリースしている(関連記事:米Microsoft,「サード・パーティの暫定パッチは勧めない」)。ZERTは9月22日に,VMLの実装に関するセキュリティ・ホールを修正するパッチを公開した(関連記事:IEのVML関連セキュリティ・ホールを修正する独自パッチを公開)。いずれのセキュリティ・ホールについても,現在ではMicrosoftから修正パッチがリリースされている。
ただしSANS Instituteなどでは,非公式パッチを適用する代わりに,「問題のActiveXコントロールにKill Bitを設定する」といった回避策を実施することを推奨している。回避策については,マイクロソフトのセキュリティアドバイザリに詳しい。また,SANS InstituteではKill Bitを設定するためのツールを公開している(関連記事)。
・米Determinaの情報
・ZERTの情報
・米SANS Instituteの情報
・マイクロソフトのセキュリティアドバイザリ
