- IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも
http://internet.watch.impress.co.jp/cda/news/2005/08/19/8833.html - マイクロソフト セキュリティ アドバイザリ (906267): COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある
http://www.microsoft.com/japan/technet/security/advisory/906267.mspx
Msdds.dll (Microsoft DDS Library Shape Control) というファイルに任意のファイルなどを実行されてしまう脆弱性が発見されたようです。今のところ、この脆弱性を修正するパッチはリリースされていませんが、代替の回避策が公開されています。
一番実行しやすそうな対策を引用。
Msdds.dll COM オブジェクトの登録の削除
Msdds.dll の登録を削除するために、下記のステップを行ないます。
1. [スタート] メニューの [ファイル名を指定して実行] に "regsvr32 /u Msdds.dll" (二重引用符は必要ありません) と入力し、次に [OK] ボタンをクリックします。
2. ダイアログ ボックスに、登録を解除するプロセスが正常に完了したことを確認するメッセージが表示されます。[OK] をクリックして、ダイアログ ボックスを閉じます。
3. 変更を有効にするために Interent Expolorer を閉じてから再び開いてください。
回避策の影響: Microsoft DDS Library Shape Control を必要とするアプリケーションは、正確に機能しない可能性があります。
ウチのWindowsXP Professional SP2 + OfficeXP で上記の対策を実行してみたところ、「指定されたモジュールが見つかりません」 とのエラーダイアログが出ました。
C ドライブ全体で"Msdds.dll" を検索してみたところ、"C:\Program Files\Common Files\Microsoft Shared\MSDesigners7" 以下にあるのが見つかりました。ファイルバージョンは"7.00.9064.9112" なものの、システムには登録されていないようだから、とりあえず大丈夫と考えて良いかな。本来は"%windir%\system32\" 以下にあったりするようです。
遅くとも9月のセキュリティ修正プログラムでロックダウンツールみたいなのがリリースされると思います。
(2005/08/20 20:39 追記)
- IEにパッチ未公開のセキュリティ・ホール,Officeユーザーなどが影響を受ける : IT Pro ニュース
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050819/166505/ - SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System - Current Infosec News and Analysis
http://isc.sans.org/diary.php?date=2005-08-18
(2005/08/23 13:02 追記)
ちょっと安心?
- IEの修正パッチ未公開の深刻な脆弱性、影響を受けない環境が判明
http://internet.watch.impress.co.jp/cda/news/2005/08/22/8854.html - 「Office 2003/XP SP3などのユーザーは影響を受けない」――IEの脆弱性について米MSが追加情報 : IT Pro ニュース
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050822/166620/