米Microsoftは現地時間9月19日,Internet Explorer(IE)が影響を受ける新たなセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで,悪質なプログラムを実行される恐れがある。このセキュリティ・ホールを突いてスパイウエアなどを勝手にインストールするWebサイトが複数確認されているという。修正パッチは未公開。対策はWindowsの設定変更など。
9月15日に公表されたセキュリティ・ホール(関連記事)もIEに関するものだが,今回明らかにされたセキュリティ・ホールとは別物。今回のセキュリティ・ホールは,IEのコンポーネントの一つであるMicrosoft Vector Graphics Rendering library(Vgx.dll)が原因。Vgx.dllは,ベクター画像を描画するXMLベースの記述言語「Vector Markup Language(VML)」の実装である。
このVgx.dllにバッファ・オーバーフローのセキュリティ・ホールが見つかった。Vgx.dllにある特定のデータが渡されるとバッファ・オーバーフローが発生し,IEが不正終了したり,そのデータに含まれる任意のプログラムを実行されたりする恐れがある。つまり,細工が施されたWebサイトへIEでアクセスするだけで,攻撃者が意図した任意のプログラムを実行される可能性がある。
実際,セキュリティ・ベンダーなどの情報によれば,このセキュリティ・ホールを突くWebサイト---ゼロデイ攻撃を仕掛けるWebサイト---が複数確認されているという。例えば,アクセスするだけでスパイウエアを勝手にインストールするようなWebサイトが見つかっている。
現時点では修正パッチ(セキュリティ更新プログラム)は未公開。Microsoftでは,次回のセキュリティ情報公開日である10月10日(日本時間では10月11日)までに修正パッチをリリースすることを目指すという。ユーザーのニーズによっては,それよりも早くリリースする可能性もあるとする。
現時点での回避策は,(1)Vgx.dllをレジストリから削除する(レジストリ登録を解除する),(2)ACL(Access Control List)を変更して,Vgx.dllへのアクセス制限を厳しくする,(3)IEのセキュリティ設定を厳しくする,(4)HTMLメールをテキスト・メールとして表示するようにする---など。
回避策の設定方法などについてはMicrosoftの情報を参照してほしい。例えば(1)については,「ファイル名を指定して実行」から「regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll」を実行する。レジストリからの削除が成功すると,例えば「C:\Program Files\Common Files\Microsoft Shared\VGX\vgx.dllの DllUnregisterServer は成功しました。」といったメッセージが表示される(「C:\Program Files」の部分は環境によって異なる)。(1)を実行すると,IEに限らずvgx.dllを利用するアプリケーションすべてにおいて,VMLのレンダリング(解釈および描画)はできなくなる。
(3)については,例えばWindows XP SP2マシンでは,「ツール」メニューの「インターネット オプション」から「セキュリティ」タブを選択し,「インターネット」ゾーンと「イントラネット」ゾーンにおいて,セキュリティ設定を変更する。具体的には,「レベルのカスタマイズ」で表示される「セキュリティの設定」中の「バイナリ ビヘイビアとスクリプト ビヘイビア」を「無効にする」に設定する。
もちろん,「信頼できないWebサイトへはアクセスしない」「IE以外のWebブラウザを利用する」---ことも有効な回避先である。