セキュリティ関連の独立系グループZeroday Emergency Response Team(ZERT)が米国時間9月22日,Internet Explorer(IE)とOutlookのセキュリティ・ホールを修正するための独自パッチ「zert2006-01.zip」を公開した。米Microsoftは,対応する修正パッチをまだ提供していない。
問題のセキュリティ・ホールは,ベクター画像記述言語Vector Markup Language(VML)のレンダリングを行うDLL「Microsoft Vector Graphics Rendering library」(ファイル名は「vgx.dll」)に存在する(関連記事:IEにまたもやパッチ未公開のセキュリティ・ホール,ゼロデイ攻撃も確認)。
vgx.dllに特定のデータが渡されるとバッファ・オーバーフローが発生し,IEやOutlookが不正終了したり,そのデータに含まれる任意のプログラムを実行されるおそれがある。つまり,細工が施されたWebサイトへIEでアクセスするだけで,任意のプログラムを実行される可能性がある。
セキュリティ・ベンダーなどの情報によれば,このセキュリティ・ホールを突いてゼロデイ攻撃を仕掛けるWebサイトが複数確認されているという。例えば,アクセスするだけでスパイウエアを勝手にインストールするようなWebサイトが見つかっている(関連記事:IEの新しいセキュリティ・ホールを突くWebサイトが続出)。
Microsoftはセキュリティ情報「Vulnerability in Vector Markup Language Could Allow Remote Code Execution(925568)」(Vector Markup Languageのぜい弱性により,リモートでコードが実行される)を開示しているが,今のところ修正パッチを提供していない。
現時点では,(1)vgx.dllをレジストリから削除する(レジストリ登録を解除する),(2)ACL(Access Control List)を変更してvgx.dllへのアクセス制限を厳しくする,(3)IEのセキュリティ設定を厳しくする,(4)HTMLメールをテキスト・メールとして表示するようにする,などの回避策がある。
このセキュリティ・ホールに対し,ZERTは修正パッチとそのソースコード,関連情報を「ZERT2006-01:Buffer overflow in Vector Markup Language(VML)library file used by Microsoft Internet Explorer and Outlook」として提供している。Microsoftが正式なパッチを公開したら,ZERTは独自修正パッチを取り下げる。また米国土安全保障省(DHS)は,同セキュリティ・ホールに「CVE-2006-4868」という識別番号を割り当てた。
米国のセキュリティ研究機関であるSystem Administration Networking and Security Institute(SANS)9月22日,これまで「Green(緑)」だった同セキュリティ・ホールの警戒レベル「InfoCon」を「Yellow(黄)」に上げた。
その理由について,SANSは「セキュリティ・ホールの存在が知れ渡り,容易に(攻撃を)模倣できるようになり,多くのWebサイトで悪用される状態になって,リスクの度合いが大幅に高まった」と説明する。「週末は,悪人たちがボットネットを構築する機会が増える時期だ」(SANS)。
SANSは,vgx.dllをレジストリから削除する具体的な手順を紹介した。その内容は以下の通り。
・以下のコマンドを実行してvgx.dllをレジストリから削除する
regsvr32 /u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"
または
regsvr32 /u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
・パソコンを再起動し,メモリー上にあるDLLのコピーを削除する
[発表資料(ZERT)]
[発表資料(SANS)]
