ニュース
» 2005年08月22日 17時11分 公開

IEの未パッチの脆弱性、SP未適用のVisual Studio .NET 2002などに影響

マイクロソフトはセキュリティアドバイザリの記述を更新し、8月19日に公になった脆弱性の影響を受ける製品を明らかにした。

[高橋睦美,ITmedia]

 マイクロソフトは8月22日、セキュリティアドバイザリの記述を更新し、8月19日に公になった脆弱性の影響が及ぶ範囲を明らかにした。英語版アドバイザリについては米国時間8月19日に公開されていた。

 この脆弱性は、Visual Studio 2002などをインストールした際に追加される「msdds.dll(Microsoft Design Tools - Diagram Surface)」ファイルに存在する。悪用されれば、仕掛けを施されたWebサイトを表示するだけでIEが強制終了したり、コードを実行させられるおそれがある。

 マイクロソフトセキュリティアドバイザリによると、msdds.dllはデフォルトではWindows OSに搭載されない。また、msdds.dllにはいくつかのバージョンがあるが、脆弱性が存在するのはバージョン7.0.9064.9112/7.0.9446.0で、バージョンが7.0.9955.0/7.10.3077.0以降の場合は問題は存在しないという。

 製品名で言うと、Microsoft Office 2003やAccess 2003、Visual Studio .NET 2003には脆弱性は存在しない。.NET Frameworkについても、デフォルトでは影響を受けない。

 注意が必要なのは、Office XPやAccess 2002、Visual Studio .NET 2002をインストールしている場合だ。Office XPではService Pack 3、Access 2002でもService Pack 3と、最新のサービスパックを適用し、かつデフォルトの設定を変更していなければ問題はない。逆に言えば、サービスパックを適用していなかったり、たとえ適用していたとしてもMsvcr70.dllとMsvscp70.dllという2つのファイルからIEのプロセスへのアクセスが可能な状態になっていれば、脆弱性の影響を受ける恐れがある。具体的には、これら2つのファイルとmsdds.dllが同一のフォルダに存在する場合などだ。

 またVisual Studio .NET 2002についても、Service Pack 1を適用していれば問題はないが、未適用の場合は脆弱性の影響を受ける恐れがある。

 マイクロソフトではOffice XPやVisual Studio .NET 2002のサービスパックを適用するよう推奨するとともに、引き続き回避策を公開している。修正パッチについては、この脆弱性に関する調査が終わり次第、リリースする予定とのこと。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ