米Microsoftは米国時間8月19日,Internet Explorer(IE)に見つかったパッチ未公開のセキュリティ・ホール(脆弱性)に関する追加情報を公表した。米SANS Instituteなどによると,今回のセキュリティ・ホールはOfficeやAccess,Visual StudioなどをインストールしているPCだけが影響を受けると伝えられていた。Microsoftの追加情報では,Office 2003/Access 2003やOffice XP SP3/Access 2002 SP3,Visual Studio 2003/2002 SP1などは影響を受けないことが明らかにされた。
今回のセキュリティ・ホールは,IEのCOMオブジェクトの呼び出しに関するもの(関連記事)。COMオブジェクト「Msdds.dll(Microsoft Design Tools - Diagram Surface)」をOBJECTタグで呼び出そうとするHTMLファイル(Webページ/HTMLメール)を開くと,IEが強制終了したり,ファイルに含まれる任意のプログラムを実行させられる。セキュリティ・ホールを突くコード(プログラム)もネット上で公表されている。
Microsoftでは米国時間8月18日に「Security Advisory」を公開し,セキュリティ・ホールの内容や回避策などを明らかにした。しかしながら,セキュリティ・ホールの影響範囲の詳細を伝えていなかった。当初は,
- Msdds.dllはデフォルトのWindowsには含まれていない
- Msdds.dllが存在しないPC(システム)は影響を受けない
の2点を伝えるのみだった。今回同社は,影響範囲に関する情報を米国時間8月19日付けで追記した。追記内容は以下のとおり。
- Msdds.dllは.NET Frameworkには含まれていない
- 影響を受ける Msdds.dllのバージョンは 7.0.9064.9112 と 7.0.9446.0。バージョン 7.0.9955.0/7.10.3077.0,およびこれらよりも新しいバージョンのMsdds.dllは影響を受けない
- Office 2003ユーザーは影響を受けない(含まれるMsdds.dllが新しいバージョンであるため)
- Access 2003ユーザーは影響を受けない(含まれるMsdds.dllが新しいバージョンであるため)
- Visual Studio 2003ユーザーは影響を受けない(含まれるMsdds.dllが新しいバージョンであるため)
- Visual Studio 2002 SP1ユーザーは影響を受けない(含まれるMsdds.dllが新しいバージョンであるため)
- デフォルトのOffice XP SP3は影響を受けない
- デフォルトのAccess 2002 SP3は影響を受けない
Office XP SP3/Access 2002 SP3については,ユーザーが設定を変更している場合には影響を受ける可能性があるという。具体的には,IEがMsvcr70.dllとMsvscp70.dllにアクセスできるようにしている場合(例えば,これらを Msdds.dllと同じディレクトリに置いている場合や%windir%/system32のディレクトリに置いている場合)には影響を受ける。
【8月22日追記】マイクロソフトも8月22日昼,「セキュリティ アドバイザリ (906267)COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある」を更新し,影響範囲に関する情報を追記した。【以上,8月22日追記】
◎参考資料
◆Microsoft Security Advisory (906267) A COM Object (Msdds.dll) Could Cause Internet Explorer to Unexpectedly Exit(Updated: August 19, 2005)
◆マイクロソフト セキュリティ アドバイザリ (906267) COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある(最終更新日: 2005年8月22日)
