- 墺セキュリティ企業がIEの問題を指摘、Microsoftも「調査を進めている」
http://internet.watch.impress.co.jp/cda/news/2005/07/01/8252.html - Secunia - Advisories - Internet Explorer "javaprxy.dll" Memory Corruption Vulnerability
http://secunia.com/advisories/15891/ - IEの脆弱性を突くエクスプロイトコード出まわる - ZDNet Japan
http://japan.zdnet.com/news/sec/story/0,2000052528,20084973,00.htm
全てのWindows 上で動く全てのバージョンのIE にこの脆弱性があるのと、既にこの脆弱性を利用した攻撃コードも出回っているとのことで、Secunia 的危険度は"Extremely critical"(5段階中一番危険) になっています。
マイクロソフトからは、現時点では「暫定的な対処パッチ」 が出てきますので、ひとまずこれの適用を。OS ごとに専用のプログラムが用意されています。
- Microsoftが「Javaprxy.dll」無効化パッチ提供、IEの深刻な脆弱性を回避
http://internet.watch.impress.co.jp/cda/news/2005/07/06/8295.html - 窓の杜 - 【NEWS】リモートで任意のコードを実行されるIEの脆弱性に対する修正パッチが公開
http://www.forest.impress.co.jp/article/2005/07/06/javaprxydll.html - Microsoft Security Advisory (903144): A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit
http://www.microsoft.com/technet/security/advisory/903144.mspx
おそらくちゃんとしたセキュリティ修正プログラムが近いうちに出ることになるはずですと思います。
ところで今回脆弱性があったという"javaprxy.dll" は"Microsoft Java Virtual Machine"、いわゆるMSJVM に含まれるコンポーネントっぽいのですがMSJVM が入っていない(=コマンドプロンプトから"jview" が実行出来ない) PC ではこの脆弱性の影響を受けないような気もするのですがどうなんでしょう。
ファイル検索かけて"javaprxy.dll" が上がってこなかったらとりあえず大丈夫、と考えてよさそうなのだけど、どこもコレについては触れてないので、間違った認識なのかもしれない。いちおう、パッチを当てる方向で。
(2005/07/08 13:44 追記)
もともとMSJVM が入っていない環境の場合はこの脆弱性の影響を受けない、という理解でよさそう…なのだけど、XP SP2 用のプログラムがあるのはなんでだろう。MSJVM がインストールされている環境用、ということかな?
- @IT:Windows HotFix Briefings(2005年7月8日版)
http://www.atmarkit.co.jp/fwin2k/hotfix/hfb20050708/hfb20050708.html