IE と msdds.dll に未パッチの脆弱性 43
ストーリー by GetSet
該当環境か否かの判定が手間かも 部門より
該当環境か否かの判定が手間かも 部門より
arisamu 曰く、 "MSのセキュリティアドバイザリによると、msdds.dll(Microsoft Design Tools - Diagram Surface)に脆弱性が発見されたとのことです。現在のところ、MSからの正式な対処法は公開されていません。(参考:ITmediaの記事)
msdds.dllは、Windowsに元々組み込まれているライブラリではありません。
e-news.comの記事によれば、
が対象となるようです。Office 2003に含まれるmsdds.dllはこの脆弱性の対象外とされています。"Program Files\Common Files\MicrosoftShared\MSDesigners7"にインストールされているもの .Net Framework 1.1 Microsoft Office (2000, 2002, XP), Microsoft Project Visio, Access 11 (2003) runtime, and the ATI Catalyst driver installed by newer ATI video cards. のもの
回避法としては、washington postのSecurity Fixの記事によれば、IE以外のブラウザを使うことが推奨されています。
IEが必要な場合は、MS非公式パッチを、 SANS Internet Storm Centerが公開しています(msdds.dll COMオブジェクトをIEから呼びさせないよう、レジストリを変更するパッチ)ので、これを利用すると便利でしょう。"
パッチじゃないよ (スコア:4, 参考になる)
これを非公式パッチと呼ぶのは語弊があります。
あくまでMSDDS.DLLをIEから呼べないようにレジストリで制限をかけるだけです。
MSがあげたworkaroundの一つを自動でやってくれるツールなだけであり、MSDDS.DLLを使ったコンテンツが必要な人(ってそのような物があるのかはわからないのですが)には困ったことになります。
ちなみに MSDSS.DLLが 7.10.x だと該当しない(脆弱性がない)という話があります。手元のWindows XP SP2+Office 2003のマシン(MUで最新パッチ適用済み)ではその7.10.xでした。
手元にOffice XPとかのCDがないのでわかりませんが、私と同じ組み合わせ(当然MUで最新にするべきですが)だとだいじょうぶかもしれません。
# rm -rf ./.
Re:パッチじゃないよ (スコア:2, 参考になる)
kill bit設定する (MSが提示するworkaroundの3番目)のであれば
テキストエディタで上記の内容のファイルを作成して、killdds.reg としてセーブ、ファイルをダブルクリックして、「はい」を選択すればOKなんで、わざわざツールとか作るまでも無いかも。
これはなさそうですよ。 とのことですから。Re:パッチじゃないよ (スコア:2)
> あくまでMSDDS.DLLをIEから呼べないようにレジストリで制限をかけるだけです。
しかしそうなりますと、MS05-037 はパッチじゃなかった、という事になりますが?
また、他の PC の 7.10.x の MSDSS.DLL をコピーして持ってくるなら、根治策になるかもしれませんが、同時にライセンス違反になります。 (MS が許可すれば話は別ですが)
Accessを削除 (スコア:2, 参考になる)
Accessを使っていないのでアンインストールしたところ、削除されることを確認しました。
Re:パッチじゃないよ (スコア:1, すばらしい洞察)
つまりそれ以外のOffice2000以降を使っているユーザは
対処する必要があるということでしょう。
また、パッチという表現は、Washington Postの記事にも、
MS non-authorized "patch"と書かれているので、
それを忠実に訳しただけと思われます。
とりあえずこれを読んでおけば (スコア:3, 参考になる)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050819/166505/
IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも
http://internet.watch.impress.co.jp/cda/news/2005/08/19/8833.html
Re:とりあえずこれを読んでおけば (スコア:2)
完全対策は可能なのか? (スコア:3, 興味深い)
この件って、MS05-037とMS05-038と同じ、「IEで呼び出されることを前提に設計していないCOMオブジェクトをわざと呼び出すことでBuffer Overflowを引き起こす」ってやつだと思うんだけど、結局MS05-037とMS05-038の対策はレジストリに該当オブジェクトのGUIDでKillBitを設定して対策完了になってる。今回もそういうことになるだろう。
しかしだ、今回MS05-038で対策完了したと思ったら対策漏れのような感じでこの話が持ち上がった。今後もリストアップ漏れで対策が必要なオブジェクトが再び出てくる可能性は有りそうだし、詳しくないから分からないけど、MS以外のベンダが市販アプリケーションや顧客システム向けにCOMオブジェクトを独自開発しててそれがやばいということはないのだろうか。詳しい人どうなんでしょうか?
IEがKillBitの逆で、使いたいコンポーネントだけをレジストリに設定する設計だったらこんなことにはならなかったんだろうになぁと思ってますが。
Re:完全対策は可能なのか? (スコア:2)
> は有りそうだし
同感ですね。javaprxy.dll (MS05-037) に関する @IT の記事によれば、SEC Consultによればほかにも20個近いCOMオブジェクトに同様の脆弱性があるとしている。 [atmarkit.co.jp]との事ですので。
Re:完全対策は可能なのか? (スコア:1, 興味深い)
MS以外のベンダが市販アプリケーションや顧客システム向けにCOMオブジェクトを独自開発しててそれがやばいということはないのだろうか。
COMオブジェクトはライブラリの一部ですから、当然のことながらあるでしょうね。ただ、攻撃者はどのライブラリなのかをGUIDか名前で指定する必要がありますから、インターネットからの不特定多数を相手にした攻撃の場合は「Microsoft以外の有名なベンダーであり、かつそのベンダーはネットワークやセキュリティに疎く、ごく普通の一般ユーザの環境にもインストールされるほどメジャーなソフトウエア」が真っ先に狙われるでしょう。
それ以外のマイナーなベンダーの場合は攻撃者が相手を特定して(メールで送りつけるなど)行なわれるでしょうね。
IEがKillBitの逆で、使いたいコンポーネントだけをレジストリに設定する設計
それってそもそもの ActiveX の思想を否定してしまいますよね。
実行しているプログラムが何の目的でどのように動いているのか、どのようにインストールするのかを全て省略し、Windowsが必要だと判断したときに自動で起動してやりとりするというのが ActiveX の発想の原点ですから、ユーザにそれらを管理させる(設定させる)というのは真逆の発想です。
そういう「ユーザに問い合わせない」発想の元に成り立っているシステムなので、インターフェイス仕様や依存関係も非開示になっていて、事実上ユーザに管理させることも不可能な実態になっていたりします。
よくあるパターンですが、WindowsからLinuxにユーザが移行したときに「あれが動かない、これが動かないのトラブルばかりに悩まされる」という苦労が語られますが、Windowsでユーザが気にしないうちにプログラムがダウンロードされて実行されているのは ActiveX の恩恵が強いがゆえに、それのないLinuxでは不便に感じてしまうというわけです。
Re:完全対策は可能なのか? (スコア:1)
Microsoft謹製でもヤバい訳ですから、世間一般には「ネットワークやセキュリティに強い」と思われているベンダー、そう自負しているベンダーでも安心はできないと思いますよ。
外部機能のインストールから呼び出しまで自動化できるようになっている以上、危険が伴うのはあるいみ当然かも。
Re:完全対策は可能なのか? (スコア:0)
大勢に影響ありません (スコア:3, 参考になる)
今回の問題が見つかる前から IE 6.x の脆弱性は Highly critical と評価されていました。
今回の問題が解決しても、2年前から放置されている別の脆弱性が解消しない限り、IE 6.x の
脆弱性レベルは依然として Highly critical のままです。
ごく少数のセキュリティ専門家は別として、一般の技術者ならびに一般人にとって、
この問題の該当環境かどうかなど思い悩む必要はありません。そんなヒマがあったら、
代替ブラウザの選定に使う方が有効です。
Re:大勢に影響ありません (スコア:0)
>脆弱性レベルは依然として Highly critical のままです。
よくそういう指摘を見かけますが、それは本当にIEの脆弱性ですか?
もしかしてIEのActiveX Pluginのうちの一つではないですか?
そして、それを使わないか、あるいはUninstallするだけで解決
というわけではありませんか?
よくFirefox信者(に限らず、反MS的ソフト支持者)がセキュア度が
同じならマイナーなほうが攻撃が少
Re:大勢に影響ありません (スコア:1)
自分で調べずに、ただ否定的な憶測を書くというのは怠惰であり不公正でもあります。
レポートの内容を読むと、問題の2003年8月の脆弱性が Highly critical と
評価されているのは妥当な判断であると考えます。
Re:大勢に影響ありません (スコア:0)
そして何故そのHighly Criticalな穴が世間で問題にならないか考えたことはありませんか?
一方的な大本営発表のみを信じるようでは、
思考停止と指摘されても誰も文句は言え
Re:大勢に影響ありません (スコア:0)
直せないんでしょ?
>そして何故そのHighly Criticalな穴が世間で問題にならないか考えたことはありませんか?
詳細な情報が広まらないようにしているからでしょ?
Pluginの脆弱性はIEの脆弱性か? (スコア:0)
自分で疑問に思ったというよりも、君の提示した情報が誘導的で、
どの脆弱性のことを言っているのか曖昧にしている事に対して
質問という形を取って批判しているのですよ。
君の話の節々から予想される脆弱性は2003/8/24のSA9534 [secunia.com]と
思われますが、なぜURLにこれを示さないのかが疑問。
>自分で調べずに、ただ否定的な憶測を書くというのは怠惰であり不公正でもあります。
否定的な虚実を書き、調べにくいようにごまかすのは甚だ不公正であり、
悪質であるとすら思いますよ。
君がなぜか曖昧にしか示さ
Re:Pluginの脆弱性はIEの脆弱性か? (スコア:2)
君のような熱心な協力者がいてくれると本当に助かります。 おーっと!
そこまで精読しておきながら、当該文書にある というくだりは完全にスルーですか? 英語にタンノウな君には必要ありませんが、
一般読者のために参考訳を付けるとこうなります: この一文なしでは、Highly critical であるとは誰も納得しないでしょう。
なお、IE の設定により ActiveX プラグインがインストールされる際に
確認メッセージを表示させることも可能です。またプロクシサーバにより、
この脆弱なプラグインだけをブロックすることも(少なくとも理論上は)可能です。
これらの点を割り引いても、Highly critical という評価は妥当でしょう。
なお、Anonymous Coward には他人のコメントを批判する資格がない、
というのが私の持論です。この点については誤解なきよう。
Re:Pluginの脆弱性はIEの脆弱性か? (スコア:0)
いったい君は何様ですか?
そんなにIDがACと比べて偉いのなら、vnなる人物が何者なのか
一般公開しておけば?
最低でも本名くらい。
それができないならIDは単なるコテハンにすぎないでしょう。
コテハンとACにそんな差別ができるほどの違いはありません。
どちらも匿名なのには変わりありません。
#俺様のコメントを批判する資格は無いなんていうやつに
#ろくな人間はいない。
で、問題はIEの脆弱性じゃなくてPluginの脆弱性なん
Re:Pluginの脆弱性はIEの脆弱性か? (スコア:0)
あ、っそ。
わざわざ、言わなくてもいいんですよ。
わたしゃ、文章の書き手ではなくて文章の内容で
価値を決めるだけですから。
AnonymousCowardというラベルでひとくくりにすると
楽でしょうが、それだけを頼りに判断をすると結
Re:Pluginの脆弱性はIEの脆弱性か? (スコア:0)
何故その嘘への指摘を無視して「Highly critical!! Highly critical!!」とだけ喚いてるのかね。
>この点については誤解なきよう。
誰か誤解してそうでしたか?
なお、vn には他人のコメントを批判したり嘘情報をばら
Re:大勢に影響ありません (スコア:0)
英語が読めないようなやつは去ねと言っている訳ですか。
そういう人は本家 [slashdot.org]に行って下さい。
Re:大勢に影響ありません (スコア:1)
>もしかしてIEのActiveX Pluginのうちの一つではないですか?
リンク先にもある通り、今回のは(も)違うそうですが。
>そして、それを使わないか、あるいはUninstallするだけで解決
>というわけではありませんか?
MSのアドバイサリでは削除は推奨されてませんね。
>よくFirefox信者(に限らず、反MS的ソフト支持者)がセキュア度が
>同じならマイナーなほうが攻撃が少ないので安全だと言いますが、
信者って言葉がふさわしければ、これは昔「Linuxが安全なのはマイナーだから攻撃されないだけだ」っていういわゆるマイクロソフト信者が使ってたフレーズですよ。
逆の立場ならこんな事言わないでしょうね。
>その脆弱性は2年間も放置されてるんですよね。
>世界のブラウザの9割近くを占めるIEにHighly Criticalな脆弱性が
>放置されたままなのに、なぜ未だに攻略コードやマルウェアが
>出てこないのでしょう?
同じくリンク先で、実証コードが公になってるとの事ですよ。
現時点で実際にこの脆弱性が犯罪行為に利用されたかどうかは不明ですが。
>脆弱性があっても、攻撃が少ないなら安全なんですよね。
違いますよね。
>個人的にはそうは思わないですが。
一般的にそうは思わないと思います。
Re:大勢に影響ありません (スコア:0)
・見づらい
・相手の主張を都合良く切り取れる
・トータルの論旨を無視した反論になる
とか問題点もあるし、
結局議論が切れちゃうので止めて欲しいとおもうなりよ。
Re:大勢に影響ありません (スコア:0)
反論っちゅーより添削じゃないの?
msdds.dll の意味 (スコア:1)
Microsoft Digital Devil Sto(ry
# DDS と見るとこれしか思い浮かばない。
Re:msdds.dll の意味 (スコア:0)
俺はテープバックアップ装置を最初に思い出しました。
正式? (スコア:0)
セキュリティアドバイザリに載っているのはだめなんですか?
# あれは「回避策」だという向きもおありでしょうが
--
バッチリ該当バージョンっぽいAC
やっと出た (スコア:0, 興味深い)
ここをわたしは高く評価したい。
いままでに、数え切れない、製品とは思えない程、バグ、脆弱性、その他の問題点が露呈して来たWindows/IE/OE/OFFICEですが、
対策が発表される度に、やれ、パッチを当てろ、新しいバージョンを使え、ActiveXをOFFにしろ...
と小手先ばかり、場当たり的な対策しか出て来ませんでした。
その時点で「こりゃぁ、なんか変だな?」と思わないユーザーが多いことにも問題はありましたが、
専門家であろう人たちの出す対策に
これらの製品の使用を止める。
という表現が使われることは全くと云っていい程ありませんでしたから。
Re:やっと出た (スコア:3, すばらしい洞察)
> ここをわたしは高く評価したい。
俺は逆に、ここを一番低く評価したい。
[IE以外であればOKなんだな]というアホな考えを誘発するから。
# 問題はプロダクトじゃなくてマネージメントなのですよ
Re:やっと出た (スコア:2, すばらしい洞察)
まだセキュリティアドバイザリが出る前の段階での
回避法(応急処置ともいう)のようです。
つまり、MS から正式な Hotfix がでるまでは
「できるならIE を使うのを避けたほうがいい。」
という(まさしく回避)ともことではないでしょうか?
「もし、会社でどうしてもIEを使う必要があるなら、
SANS のパッチをつかってみては?」という文脈によめます。
それなので、早く Hotfix なり、Windows Update なり、
Microsoft Update なりで MS からのパッチがでて、
早急に対応できることが望ましいと思います。
Re:やっと出た (スコア:1)
使わないって選択肢を取るなら徹底しないと。
#いくつか手段(ブラウザ)を持っておくってのが一番無難だと思う。
#FirefoxでもOperaでもダメな時は対応されるまでダメだし。
#Windows以外はゲームが弱いし(それしか無いのか)。
--
「なんとかインチキできんのか?」
Re:やっと出た (スコア:1)
同様にMozillaやFirefoxなどのGeckoブラウザにも脆弱性はあるので、使用は控えるべきでしょう。
その他、脆弱性が報告されているブラウザはどれも危険なのでやめたほうがいいですね。
Javascriptも大体のサイトで問題ない程度には対応していてほしいです。
最近では、Flashを使ったページが多いので、Flashプラグインが使用可能なブラウザがいいです。
さて、そんなブラウザありましたっけ?
# ブラウザを変えるってのも対処法のひとつ。
# でも完全な対処法ではない。
1を聞いて0を知れ!
でもさ (スコア:0)
使えないもの同士ならメジャーな IE を使用することをお勧めします。
Re:でもさ (スコア:1)
Re:でもさ (スコア:0)
Re:やっと出た (スコア:0)
> と小手先ばかり、場当たり的な対策しか出て来ませんでした。
ActiveXはともかくとして、
パッチ当てろ、新しいバージョン使え
って言われるのは他のブラウザでも同じでは?
Re:やっと出た (スコア:1)
「回避法としては、コンピュータを使わないことが推奨されています。」
って書けば最高の評価かもね.
Re:やっと出た (スコア:2, すばらしい洞察)
--
「王様の耳はロバの耳!」
Re:やっと出た (スコア:1)
“自分で~対策できない人には「~を使わないことを推奨」したい”
いくつでも出てきそうです。実現不可能なことが。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:やっと出た (スコア:0)
spamに耐性のないメール系システム全般とかそういうのも。
Re:やっと出た (スコア:0)
従わないヤツや、「分からないから出来ない」とのたまうヤツが必ず出てくる。
全機能が使える「フルサイズIE」と、