【 ここから本文 】
[特集]Webブラウザ
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
OfficeやVisual StudioのファイルにInternet Explorer(IE)に影響するセキュリティ・バグ
(2005年08月19日)
米マイクロソフトのInternet Explorer(IE)のユーザーに深刻な問題をひきおこすかもしれない未パッチのセキュリティ・バグが、「Office」や「Visual Studio」とともにインストールされるファイルの一つに見つかった。そのバグを突くためにWebページが利用される可能性があるという。一方、同社の8月の月例セキュリティ情報で報告されパッチが提供され始めたばかりのIEのバグを悪用するWebサイトの存在も指摘されている。
フランスのFrSIRT(French Security Incident Response Team)が8月17日に発表した警告によると、「Office 2002」や「Visual Studio .Net 2002」の一部として出荷されている「Msdds.dll」ファイルにはメモリのデータ破損につながるバグが存在しており、そのバグが同ファイルが導入されたシステムを攻撃者が乗っ取るのに利用されるおそれがある。その攻撃では、バグを悪用するコードを仕込んだWebページを開設するという手口が使われる。
この攻撃は、広く普及しているInternet Explorer(IE)ブラウザを介して行なわれるが、被害を受けるおそれがあるのはMsdds.dllが導入されたシステムに限られる。同ファイルのバグを修正するセキュリティ更新プログラムは提供されていない、とFrSIRTは述べている。
米サイバートラストのシニア情報セキュリティ・アナリスト、ラス・クーパー氏によると、Msdds.dllはカスタムOfficeアプリケーションの作成に使われる。このファイルはデフォルトではインストールされないのではないかと同氏は見ている。
マイクロソフトとFrSIRTは、Msdds.dllがOfficeやVisual Studioでデフォルトでインストールされるのかどうかを明らかにしていない。
実際にこの問題を悪用した攻撃はまだ報告されていない、とマイクロソフトの広報担当者は8月18日に語った。広報担当者は、Msdds.dllのバグを修正するセキュリティ更新プログラムの提供が計画されているかについてコメントしていないが、この問題に関する同社のセキュリティ・アドバイザリ(英文)は8月18日付けで公開され、回避策も提示されている。[なお、日本時間の8月19日15時現在、日本語版のセキュリティ・アドバイザリは公開されていない。]
一方、IEのJPEGレンダリング・エンジンのバグを悪用するWebサイトの存在が指摘されている。このバグは、マイクロソフトが米国時間の8月9日付けのセキュリティ情報「MS05-038」で公表し、それを修正するセキュリティ更新プログラムの提供を開始したばかりである。
米ウェブセンスによると、そうしたサイトはすでに十数サイトも出現している。MS05-038のセキュリティ更新プログラムを適用していないIEユーザーがこうしたサイトにアクセスすると、システムをクラッシュさせられたり、攻撃者がシステムを乗っ取ることを可能にするソフトを実行させられるおそれがある。だが攻撃が成功するのは、ユーザーがサイト上でクリック操作をした場合だけだという。
攻撃者がシステムを乗っ取る目的で、電子メール・ウイルスを用いる代わりに、IEを標的にして有害なWebサイトを開設する傾向が強まっている、とウェブセンスのセキュリティ・リサーチ担当幹部、ダン・ハバード氏は指摘している。
(Originally reported by Robert McMillan, IDG News Service 08/18/2005)
