米Microsoftは米国時間8月18日,Internet Explorer(IE)に新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページを閲覧するだけで,悪質なプログラムを勝手に実行される可能性がある。また,セキュリティ・ホールを突くプログラム(コード)がネット上で既に公表されている。ただし影響を受けるのは,Microsoft OfficeやVisual Studio .NetなどをインストールしているPCのみ。同社からはパッチは公開されていない。回避策はIEのセキュリティ設定やレジストリを変更すること。

 今回のセキュリティ・ホールは,IEのCOMオブジェクトの呼び出しに関するもの。(IEから呼び出すことを意図していない)特定のCOMオブジェクトをOBJECTタグで呼び出そうとするHTMLファイル(Webページ/HTMLメール)を開くと,IEが強制終了したり,ファイルに含まれる任意のプログラムを実行させられる。

 既にパッチが公開されている「JView プロファイラの脆弱性によりリモートでコードが実行される (903235) (MS05-037)」「Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038)」に含まれるセキュリティ・ホールと同様のセキュリティ・ホールだと考えられる(関連記事1関連記事2)。

 ただし影響範囲は異なる。「MS05-037」や「MS05-038」で対象となったCOMオブジェクトはデフォルトのWindowsに含まれているので,ほとんどのWindowsユーザーが影響を受ける。一方,今回のセキュリティ・ホールの対象となるCOMオブジェクトは「msdds.dll(Microsoft Design Tools - Diagram Surface)」であり,デフォルトのWindowsには含まれない。このCOMオブジェクトを含む製品をインストールしているPCのみが,今回のセキュリティ・ホールの影響を受ける。

 米SANS Instituteの情報によれば,msdds.dllのバージョン 7.0.9064.9112が影響を受けるとされており,以下の製品に同バージョンのmsdds.dllが含まれる可能性があるという。

  • Microsoft Visual Studio .Net
  • .Net Framework 1.1
  • Microsoft Office 2000/2002/XP
  • Microsoft Project
  • Visio
  • Access 11 (2003) runtime
  • ATI Catalyst driver installed by newer ATI video cards

 ただし,現時点(8月19日)では各ベンダーや組織が調査している最中で,情報が一部交錯している。例えば,Office 2000には含まれないという情報もある。また,これら以外の製品に含まれている可能性もある。

 なお,影響が確認されているのはmsdds.dll 7.0.9064.9112だけ。新しいバージョン(例えばバージョン 7.10.x)は影響を受けない。例えばOffice 2003にもmsdds.dllが含まれるが,バージョンが新しいために影響を受けないという。

 現時点でMicrosoftが公開しているのはセキュリティアドバイザリだけで,修正パッチは未公開。このため,IEからmsdds.dllを呼び出せないように,手動で設定変更することが回避策となる。Microsoftでは,以下の設定変更を回避策として挙げている。

(1)「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定を「高」にして,Active Xコントロールの実行前にはダイアログが出るようにする(実行できないようにする)

(2)「インターネットゾーン」や「イントラネット ゾーン」におけるIEのセキュリティ設定で,「レベルのカスタマイズ」から「ActiveXコントロールとプラグイン」以下の各項目を「無効」あるいは「ダイアログを表示する」に設定する

(3)レジストリを変更して(Kill Bitを設定して),IEからmsdds.dllを呼び出せなくする(参考資料

 SANS Insituteでは,msdds.dllにKill Bitを設定するためのツール(事実上のパッチ)を公開している。これを利用すれば,(3)を自動的に実施できる。

 加えてSANS Insituteでは,「影響が出ないようなら,msdds.dllを削除する」「IEのコンポーネントを利用しない別のブラウザを使う」ことも回避策として挙げている。また,「信頼できないWebページにはアクセスしない」ということも,有効な回避策の一つである。

◎参考資料
◆Microsoft Security Advisory (906267) A COM Object (Msdds.dll) Could Cause Internet Explorer to Unexpectedly Exit(米Microsoft)
Patch available for Internet Explorer (.Net) 0day Exploit(米SANS Institute)
Documentation: Setting 'Killbit' for msdds.dll(米SANS Institute)
Microsoft Design Tools msdds.dll Code Execution Vulnerability(デンマークSecunia)