マイクロソフトは11月1日,Visual Studio 2005に含まれるActive Xコントロールにセキュリティ・ホールが見つかったことを明らかにした。このコントロールを呼び出すようなWebページにInternet Explorer(IE)などでアクセスすると,パソコン上で任意のプログラムを実行される恐れがある。セキュリティ・ホールを突くことが可能であることを示す検証コードも公開されているという。修正パッチは未公開。
セキュリティ・ホールが存在するのは,WmiScriptUtils.dllに含まれているWMI Object Brokerコントロール。WMI Object Brokerは,Visual Studio 2005のWMIウィザードで使用されている。ユーザーがVisual Studio 2005のWMIウィザード機能を起動させる場合,ウィザードは別のコントロールをインスタンス化するために内部でWMI Object Brokerを使用するという。
このコントロールのセキュリティ・ホールを悪用すると,パソコン上で任意のプログラムを実行させることが可能であるという。具体的には,このコントロールを呼び出す悪質なWebページにアクセスするだけで,任意のプログラムを実行される恐れがある。実際,このセキュリティ・ホールを突くことが可能であることを示す実証コードがネット上で公開されている。
現時点では修正パッチは未公開。マイクロソフトでは,セキュリティ・ホールの概要と回避策をまとめたセキュリティアドバイザリを公開した。回避策の一つは,今回のコントロールが呼び出されないようにkill bitを設定すること。kill bitを設定することでIE経由の攻撃を防げる。具体的な設定手順は,セキュリティアドバイザリに記載されている。
そのほか,ActiveXコントロールが実行されないようにIEを設定することも回避策として有効である。具体的には,セキュリティのレベルを「高」にしたり,アクティブスクリプトを無効にしたりする(具体的な手順はセキュリティアドバイザリを参照)。ただしこの場合には,セキュリティ・ホールが見つかったActiveXコントロール以外も実行できなくなるので要注意。
なおIE 7においては,今回のコントロールはデフォルトでは許可リストに含まれていないので,設定を変更していなければ(実行することを明示的に許可していなければ)影響を受けないという。また,Windows Server 2003 /Server 2003 SP1についても,セキュリティ強化の構成を有効にしているユーザーは,今回のセキュリティ・ホールの影響を受けないとしている。
マイクロソフトでは,今回のセキュリティ・ホールを調査中。調査が完了次第,ユーザーを保護するためのアクション(修正パッチの提供など)をおこなう予定であるという。
