« 「Sleipnir 2.00」のβ3公開 | Main | NEC Direct、水冷スリムPC「VALUESTAR G タイプC」 »

›8 19, 2005

IEに新たな脆弱性か--マイクロソフトが調査中

[ PCニュース ]

 既にコードが出回っているということで。回避策も書いてないし参った。

 Microsoftは、同社のウェブブラウザ「Internet Explorer」に新たな脆弱性が見つかったとする報告について調査を進めている。この脆弱性を悪用された場合、ユーザーのマシンが乗っ取られる可能性がある。これを修正するパッチはまだ出されていない。
 
 フランスのFrench Security Incident Response Team(FrSIRT)関係者によると、攻撃者がこの脆弱性を悪用するウェブサイトを作成して、アクセスしたユーザーのマシンを乗っ取ったり、悪質なソフトウェアをインストールしたりするおそれがあるという。FrSIRTではこの脆弱性の深刻度を、最高レベルの「重大(critical)」に分類している。
 
 同グループによると、この脆弱性を悪用するエクスプロイトコードがすでにインターネットで出回っているという。エクスプロイトコードを攻撃に応用することが可能であることから、通常、エクスプロイトコードの出回っている脆弱性ほど、そのリスクは高いとされている。

IEに新たな脆弱性か--マイクロソフトが調査中 - CNET Japan

追記

 米Microsoftは8月18日、Internet Explorerに発見された新たな脆弱性に関するセキュリティアドバイザリを公開し、推奨される回避策を公開した。
 
 この脆弱性はデフォルトのWindowsには影響せず、Microsoft OfficeやVisual Studioといったアプリケーションを導入しているPCにのみ存在する。これらのアプリケーションによってインストールされるmsdds.dll(Microsoft Design Tools - Diagram Surface)ファイルに問題があり、悪意あるWebサイトを訪れるだけで、任意のコードを実行されるおそれがある。
 
 既に実証コードが公になっているが、Microsoftからはこの脆弱性に対するパッチはリリースされていない。同社は代わりに、セキュリティアドバイザリを公開し、いくつかの回避策を挙げた。
 
 1つは、IEのセキュリティ設定を変更し、インターネット ゾーンやイントラネット ゾーンのセキュリティレベルを「高」にするなどして、ActiveXコントロールの実行を無効にするか、警告ダイアログを表示させ制限すること。
 
 また、msdds.dll COMオブジェクトをIEから呼びさせないよう、レジストリを変更することも回避策になるという。この作業は、レジストリエディタ上で手動で行うこともできるが、SANSではこれを自動化するためのツールを公開した。
 
 また、regsvr32を用いてmsdds.dll COM コンポーネントをシステムから解除したり、msdds.dllに対するアクセス制限を強化するといった手立てもあるという。
 
 ほかにSANSでは、影響がなければmsdds.dll自体を削除したり、IEのエンジンを利用しない他のWebブラウザを利用するといった回避策を紹介している。

Yahoo!ニュース - ITmediaエンタープライズ - IEの未パッチの脆弱性、回避策をMicrosoftやSANSが公開
ITmedia エンタープライズ:IEに新たな未パッチの脆弱性報告


Posted by kroko 0 Comments: / 2 TrackBack
Comments
Post a comment












Remember personal info?