米Microsoftは米国時間7月5日,6月末に見つかったInternet Explorer(IE)のセキュリティ・ホールの影響を回避するツールを公開した(関連記事)。レジストリを変更して,セキュリティ・ホールを突いた攻撃を受けないようにする。セキュリティ・ホールに関する情報は6月30日にMicrosoftから公表されたものの,修正パッチは公開されていない。
今回のセキュリティ・ホールは,IEのCOMオブジェクトの呼び出しに関するもの。あるCOMオブジェクト(Javaprxy.dll)を呼び出すようなHTMLファイル(Webページ/HTMLメール)を開くと,IEが強制終了したり,ファイルに含まれる任意のプログラムを実行させられる可能性がある。実際,このセキュリティ・ホールを悪用するコード(プログラム)が公開されている(関連記事)。
現時点(7月6日14時)では,修正パッチは未公開。「Microsoft Security Advisory (903144)」において情報だけが公開されている。その中では,「『インターネット オプション』の『セキュリティ』において,『インターネット』および『イントラネット』ゾーンのセキュリティ レベルを『高』にする」や「IEからJavaprxy.dllを呼び出せないようにレジストリを変更する」――といった回避策を紹介している。今回公開されたツール(プログラム)は,後者のレジストリ変更を自動的に行うもの。
ツールは同社の「ダウンロードセンター」から入手できる。ツールのダウンロード・ページや使い方などは,同Security Advisoryの「Workarounds」の項に記載されている「Disable the Javaprxy.dll COM object from running in Internet Explorer」を参照してほしい。
なお,現時点(7月6日14時)では,同セキュリティ・ホールに関する日本語情報(マイクロソフト セキュリティ アドバイザリ)は公表されていない。
【7月8日追記】マイクロソフトは7月8日,今回のセキュリティ・ホールに関する日本語情報「セキュリティ アドバイザリ (903144) COM オブジェクト (Javaprxy.dll) により,Internet Explorer が異常終了する」を公開した。【以上,7月8日追記】
◎参考資料
◆Microsoft Security Advisory (903144) (7月5日更新)
◆An update available for a security vulnerability in the Javaprxy.dll COM object(英語情報)
◆A COM object (Javaprxy.dll) could cause Internet Explorer to unexpectedly exit(英語情報)
◆Javaprxy.dll COM オブジェクトのセキュリティ問題の利用可能更新(機械翻訳)
◆COM オブジェクト(Javaprxy.dll)と,Internet Explorer が突然終了するのが発生しました(機械翻訳)
◆Internet Explorer 6 Service Pack 1 用累積的なセキュリティ更新プログラム (KB903235)
(勝村 幸博=IT Pro)
