- DirectPlay の脆弱性により、サービス拒否が起こる (839643) (MS04-016)
- Crystal Reports Web Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる (842689) (MS04-017)
今月はふたつ。「DirectPlay の脆弱性により、サービス拒否が起こる」 はWindows 98/98SE/Me/2000/XP/Server 2003 が対象ですが、98/98SE/Me は深刻度が「緊急」 レベルでないので修正プログラムは出ません。ゲームはやらないのでDirectX とか入れてません、というヒトには無関係です。
もう一方の「Crystal Reports Web Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる」 は、たいていのヒトには無関係です。「Visual Studio .NET 2003」、「Outlook 2003 with Business Contact Manager」、「Microsoft Business Solutions CRM 1.2」 のいずれかをインストールしている場合は更新プログラムをインストールする必要があります。
ところでIE には現在のところ回避不能な脆弱性(「ITmediaニュース:IEに未知の重大な脆弱性」) などというのがあるので、できるだけ普段からActiveX などは切るようにしておいたほうが良いと思います。Sleipnir とかだとActiveX のオン/オフ切り替えも簡単なのでこういうのを使うのも一つの方法です。ちなみにウチではJavaScript と画像のみオンにしています。
(2004/06/10 00:55 追記)
既に具体的に脆弱性をつき、強制的にソフトをインストールさせてしまうようなコードが公開されているようです。怪しいところには行かないという、当たり前といえば当たり前のコトで自衛するしかなさそう。
- IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (impress INTERNET Watch)
- Secunia - Advisories - Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities (Secunia)
(2004/06/10 14:32 追記)
今回の脆弱性を利用し、強制的にソフトをインストールさせてしまうデモへのリンクがあります。下のページは安全ですが、そこから先へ飛ぶときは要注意。[インターネットオプション]-[セキュリティ]-[レベルのカスタマイズ...] で[アクティブスクリプト] を[ダイアログを表示する] に変更、あとは前述のとおりSleipnir で動的にJavaScript のオン/オフ を切り替えることでひとまずその場しのぎにはなるかと。