パスワードを忘れた? アカウント作成
10685 story

IE と msdds.dll に未パッチの脆弱性 43

ストーリー by GetSet
該当環境か否かの判定が手間かも 部門より

arisamu 曰く、 "MSのセキュリティアドバイザリによると、msdds.dll(Microsoft Design Tools - Diagram Surface)に脆弱性が発見されたとのことです。現在のところ、MSからの正式な対処法は公開されていません。(参考:ITmediaの記事
msdds.dllは、Windowsに元々組み込まれているライブラリではありません。 e-news.comの記事によれば、

  • "Program Files\Common Files\MicrosoftShared\MSDesigners7"にインストールされているもの
  • .Net Framework 1.1 Microsoft Office (2000, 2002, XP), Microsoft Project Visio, Access 11 (2003) runtime, and the ATI Catalyst driver installed by newer ATI video cards. のもの
  • が対象となるようです。Office 2003に含まれるmsdds.dllはこの脆弱性の対象外とされています。
    回避法としては、washington postのSecurity Fixの記事によれば、IE以外のブラウザを使うことが推奨されています。
    IEが必要な場合は、MS非公式パッチを、 SANS Internet Storm Centerが公開しています(msdds.dll COMオブジェクトをIEから呼びさせないよう、レジストリを変更するパッチ)ので、これを利用すると便利でしょう。"

    この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • by ramsy (8353) on 2005年08月19日 15時49分 (#783869) ホームページ 日記
      > IEが必要な場合は、MS非公式パッチを、 SANS Internet Storm Centerが公開しています
      これを非公式パッチと呼ぶのは語弊があります。
      あくまでMSDDS.DLLをIEから呼べないようにレジストリで制限をかけるだけです。
      MSがあげたworkaroundの一つを自動でやってくれるツールなだけであり、MSDDS.DLLを使ったコンテンツが必要な人(ってそのような物があるのかはわからないのですが)には困ったことになります。

      ちなみに MSDSS.DLLが 7.10.x だと該当しない(脆弱性がない)という話があります。手元のWindows XP SP2+Office 2003のマシン(MUで最新パッチ適用済み)ではその7.10.xでした。
      手元にOffice XPとかのCDがないのでわかりませんが、私と同じ組み合わせ(当然MUで最新にするべきですが)だとだいじょうぶかもしれません。
      --
      # rm -rf ./.
      • by Anonymous Coward on 2005年08月19日 17時49分 (#783916)

        kill bit設定する (MSが提示するworkaroundの3番目)のであれば

        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]
        "Compatibility Flags"=dword:00000400

        テキストエディタで上記の内容のファイルを作成して、killdds.reg としてセーブ、ファイルをダブルクリックして、「はい」を選択すればOKなんで、わざわざツールとか作るまでも無いかも。

        MSDDS.DLLを使ったコンテンツが必要な人(ってそのような物があるのかはわからないのですが)には困ったことになります。
        これはなさそうですよ。
        This COM Object is not marked safe for scripting and is not intended for use in Internet explorer.
        とのことですから。
        親コメント
      • by Technical Type (3408) on 2005年08月19日 18時06分 (#783924)
        > これを非公式パッチと呼ぶのは語弊があります。
        > あくまでMSDDS.DLLをIEから呼べないようにレジストリで制限をかけるだけです。

        しかしそうなりますと、MS05-037 はパッチじゃなかった、という事になりますが?

        また、他の PC の 7.10.x の MSDSS.DLL をコピーして持ってくるなら、根治策になるかもしれませんが、同時にライセンス違反になります。 (MS が許可すれば話は別ですが)

        親コメント
      • Accessを削除 (スコア:2, 参考になる)

        by hiroski (3667) on 2005年08月19日 21時08分 (#783978) 日記
        HotFix Report BBS IE6 SP2 に 0day 攻撃? [hotfix.jp]によれば、Office XPでAccessをインストールしているときに、MSDDS.DLLが組み込まれていて、アンインストールで削除されるようです。
        Accessを使っていないのでアンインストールしたところ、削除されることを確認しました。
        親コメント
      • Re:パッチじゃないよ (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2005年08月19日 16時36分 (#783898)
        このタレこみには、Office2003は対象外とかかれています。
        つまりそれ以外のOffice2000以降を使っているユーザは
        対処する必要があるということでしょう。

        また、パッチという表現は、Washington Postの記事にも、
        MS non-authorized "patch"と書かれているので、
        それを忠実に訳しただけと思われます。
        親コメント
    • by Technical Type (3408) on 2005年08月19日 18時10分 (#783925)
      IEにパッチ未公開のセキュリティ・ホール,Officeユーザーなどが影響を受ける
      http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050819/166505/

      IEに修正パッチ未公表の深刻な脆弱性、任意のコードが実行される恐れも
      http://internet.watch.impress.co.jp/cda/news/2005/08/19/8833.html
    • by Anonymous Coward on 2005年08月19日 21時52分 (#783987)

      この件って、MS05-037とMS05-038と同じ、「IEで呼び出されることを前提に設計していないCOMオブジェクトをわざと呼び出すことでBuffer Overflowを引き起こす」ってやつだと思うんだけど、結局MS05-037とMS05-038の対策はレジストリに該当オブジェクトのGUIDでKillBitを設定して対策完了になってる。今回もそういうことになるだろう。

      しかしだ、今回MS05-038で対策完了したと思ったら対策漏れのような感じでこの話が持ち上がった。今後もリストアップ漏れで対策が必要なオブジェクトが再び出てくる可能性は有りそうだし、詳しくないから分からないけど、MS以外のベンダが市販アプリケーションや顧客システム向けにCOMオブジェクトを独自開発しててそれがやばいということはないのだろうか。詳しい人どうなんでしょうか?

      IEがKillBitの逆で、使いたいコンポーネントだけをレジストリに設定する設計だったらこんなことにはならなかったんだろうになぁと思ってますが。

      • > 今後もリストアップ漏れで対策が必要なオブジェクトが再び出てくる可能性
        > は有りそうだし

        同感ですね。javaprxy.dll (MS05-037) に関する @IT の記事によれば、SEC Consultによればほかにも20個近いCOMオブジェクトに同様の脆弱性があるとしている。 [atmarkit.co.jp]との事ですので。

        親コメント
      • by Anonymous Coward on 2005年08月20日 10時48分 (#784255)

        MS以外のベンダが市販アプリケーションや顧客システム向けにCOMオブジェクトを独自開発しててそれがやばいということはないのだろうか。

        COMオブジェクトはライブラリの一部ですから、当然のことながらあるでしょうね。ただ、攻撃者はどのライブラリなのかをGUIDか名前で指定する必要がありますから、インターネットからの不特定多数を相手にした攻撃の場合は「Microsoft以外の有名なベンダーであり、かつそのベンダーはネットワークやセキュリティに疎く、ごく普通の一般ユーザの環境にもインストールされるほどメジャーなソフトウエア」が真っ先に狙われるでしょう。
        それ以外のマイナーなベンダーの場合は攻撃者が相手を特定して(メールで送りつけるなど)行なわれるでしょうね。

        IEがKillBitの逆で、使いたいコンポーネントだけをレジストリに設定する設計

        それってそもそもの ActiveX の思想を否定してしまいますよね。
        実行しているプログラムが何の目的でどのように動いているのか、どのようにインストールするのかを全て省略し、Windowsが必要だと判断したときに自動で起動してやりとりするというのが ActiveX の発想の原点ですから、ユーザにそれらを管理させる(設定させる)というのは真逆の発想です。
        そういう「ユーザに問い合わせない」発想の元に成り立っているシステムなので、インターフェイス仕様や依存関係も非開示になっていて、事実上ユーザに管理させることも不可能な実態になっていたりします。

        よくあるパターンですが、WindowsからLinuxにユーザが移行したときに「あれが動かない、これが動かないのトラブルばかりに悩まされる」という苦労が語られますが、Windowsでユーザが気にしないうちにプログラムがダウンロードされて実行されているのは ActiveX の恩恵が強いがゆえに、それのないLinuxでは不便に感じてしまうというわけです。

        親コメント
        • > かつそのベンダーはネットワークやセキュリティに疎く
          Microsoft謹製でもヤバい訳ですから、世間一般には「ネットワークやセキュリティに強い」と思われているベンダー、そう自負しているベンダーでも安心はできないと思いますよ。
          外部機能のインストールから呼び出しまで自動化できるようになっている以上、危険が伴うのはあるいみ当然かも。
          親コメント
      • SANSのパッチと同様の処理をするスクリプトがあるようです [hatena.ne.jp]ので、これを使って片っ端からCOMオブジェクトを無効にするというのはどうですか?
    • by vn (10720) on 2005年08月19日 23時48分 (#784030) 日記
      しばしばニュースサイトなどで紹介される Secunia の脆弱性レポート [secunia.com]によれば、
      今回の問題が見つかる前から IE 6.x の脆弱性は Highly critical と評価されていました。
      今回の問題が解決しても、2年前から放置されている別の脆弱性が解消しない限り、IE 6.x の
      脆弱性レベルは依然として Highly critical のままです。

      ごく少数のセキュリティ専門家は別として、一般の技術者ならびに一般人にとって、
      この問題の該当環境かどうかなど思い悩む必要はありません。そんなヒマがあったら、
      代替ブラウザの選定に使う方が有効です。
      • >今回の問題が解決しても、2年前から放置されている別の脆弱性が解消しない限り、IE 6.x の
        >脆弱性レベルは依然として Highly critical のままです。

        よくそういう指摘を見かけますが、それは本当にIEの脆弱性ですか?
        もしかしてIEのActiveX Pluginのうちの一つではないですか?
        そして、それを使わないか、あるいはUninstallするだけで解決
        というわけではありませんか?

        よくFirefox信者(に限らず、反MS的ソフト支持者)がセキュア度が
        同じならマイナーなほうが攻撃が少
        • よくそういう指摘を見かけますが、それは本当にIEの脆弱性ですか?
          もしかしてIEのActiveX Pluginのうちの一つではないですか?
          そして、それを使わないか、あるいはUninstallするだけで解決
          というわけではありませんか?
          そういう疑問を自力で解決できるように URL を明示しておきました。
          自分で調べずに、ただ否定的な憶測を書くというのは怠惰であり不公正でもあります。
          レポートの内容を読むと、問題の2003年8月の脆弱性が Highly critical と
          評価されているのは妥当な判断であると考えます。
          親コメント
          • では何故MSが放置しているのかは考えたことはありませんか?
            そして何故そのHighly Criticalな穴が世間で問題にならないか考えたことはありませんか?

            一方的な大本営発表のみを信じるようでは、
            思考停止と指摘されても誰も文句は言え
            • >では何故MSが放置しているのかは考えたことはありませんか?
              直せないんでしょ?

              >そして何故そのHighly Criticalな穴が世間で問題にならないか考えたことはありませんか?
              詳細な情報が広まらないようにしているからでしょ?
          • >そういう疑問を自力で解決できるように URL を明示しておきました。

            自分で疑問に思ったというよりも、君の提示した情報が誘導的で、
            どの脆弱性のことを言っているのか曖昧にしている事に対して
            質問という形を取って批判しているのですよ。
            君の話の節々から予想される脆弱性は2003/8/24のSA9534 [secunia.com]と
            思われますが、なぜURLにこれを示さないのかが疑問。

            >自分で調べずに、ただ否定的な憶測を書くというのは怠惰であり不公正でもあります。

            否定的な虚実を書き、調べにくいようにごまかすのは甚だ不公正であり、
            悪質であるとすら思いますよ。

            君がなぜか曖昧にしか示さ
            • ...予想される脆弱性は2003/8/24のSA9534 [secunia.com]と思われますが、...[中略]...
              ありがとう。こういう文書を正確に紹介するのは骨が折れるので、
              君のような熱心な協力者がいてくれると本当に助かります。
              ...IEの脆弱性ではなくIEで使われるActiveX PluginであるMCIWNDX.OCXの脆弱性でしょう。
              脆弱性のタイトルも
              "Microsoft MCIWNDX.OCX ActiveX Plugin Buffer Overflow"
              と書いてありますし、このモジュールはIEで使われますが、
              Visual Studio6のものであるとも書かれています。
              IEで使われたときに問題があるから、IE用の情報ページに
              リンクがあるだけの話では?
              おーっと!
              そこまで精読しておきながら、当該文書にある
              However, since the plugin is digitally signed by Microsoft,
              it may be silently installed through Internet Explorer by any website.
              というくだりは完全にスルーですか? 英語にタンノウな君には必要ありませんが、
              一般読者のために参考訳を付けるとこうなります:
              しかしながら、このプラグインは Microsoft によりデジタル署名されているため、
              どのウェブサイトからでもメッセージなしに IE にインストールされ得る。
              この一文なしでは、Highly critical であるとは誰も納得しないでしょう。

              なお、IE の設定により ActiveX プラグインがインストールされる際に
              確認メッセージを表示させることも可能です。またプロクシサーバにより、
              この脆弱なプラグインだけをブロックすることも(少なくとも理論上は)可能です。
              これらの点を割り引いても、Highly critical という評価は妥当でしょう。

              なお、Anonymous Coward には他人のコメントを批判する資格がない、
              というのが私の持論です。この点については誤解なきよう。
              親コメント
              • >なお、Anonymous Coward には他人のコメントを批判する資格がない、

                いったい君は何様ですか?
                そんなにIDがACと比べて偉いのなら、vnなる人物が何者なのか
                一般公開しておけば?
                最低でも本名くらい。
                それができないならIDは単なるコテハンにすぎないでしょう。
                コテハンとACにそんな差別ができるほどの違いはありません。
                どちらも匿名なのには変わりありません。

                #俺様のコメントを批判する資格は無いなんていうやつに
                #ろくな人間はいない。

                で、問題はIEの脆弱性じゃなくてPluginの脆弱性なん
              • >Anonymous Coward には他人のコメントを批判する資格がない

                あ、っそ。
                わざわざ、言わなくてもいいんですよ。

                わたしゃ、文章の書き手ではなくて文章の内容で
                価値を決めるだけですから。
                AnonymousCowardというラベルでひとくくりにすると
                楽でしょうが、それだけを頼りに判断をすると結
              • で、「IEの脆弱性である」という大嘘は結局訂正しないんですか?悪質だねえ。
                何故その嘘への指摘を無視して「Highly critical!! Highly critical!!」とだけ喚いてるのかね。

                >この点については誤解なきよう。

                誰か誤解してそうでしたか?

                なお、vn には他人のコメントを批判したり嘘情報をばら
          • > そういう疑問を自力で解決できるように URL を明示しておきました。

            英語が読めないようなやつは去ねと言っている訳ですか。
            そういう人は本家 [slashdot.org]に行って下さい。
        • by Yapoo (9023) on 2005年08月20日 8時55分 (#784216)
          >よくそういう指摘を見かけますが、それは本当にIEの脆弱性ですか?
          >もしかしてIEのActiveX Pluginのうちの一つではないですか?

          リンク先にもある通り、今回のは(も)違うそうですが。

          >そして、それを使わないか、あるいはUninstallするだけで解決
          >というわけではありませんか?

          MSのアドバイサリでは削除は推奨されてませんね。

          >よくFirefox信者(に限らず、反MS的ソフト支持者)がセキュア度が
          >同じならマイナーなほうが攻撃が少ないので安全だと言いますが、

          信者って言葉がふさわしければ、これは昔「Linuxが安全なのはマイナーだから攻撃されないだけだ」っていういわゆるマイクロソフト信者が使ってたフレーズですよ。
          逆の立場ならこんな事言わないでしょうね。

          >その脆弱性は2年間も放置されてるんですよね。
          >世界のブラウザの9割近くを占めるIEにHighly Criticalな脆弱性が
          >放置されたままなのに、なぜ未だに攻略コードやマルウェアが
          >出てこないのでしょう?

          同じくリンク先で、実証コードが公になってるとの事ですよ。
          現時点で実際にこの脆弱性が犯罪行為に利用されたかどうかは不明ですが。

          >脆弱性があっても、攻撃が少ないなら安全なんですよね。

          違いますよね。

          >個人的にはそうは思わないですが。

          一般的にそうは思わないと思います。
          親コメント
          • 相手の一言一言にレスするのは、
            ・見づらい
            ・相手の主張を都合良く切り取れる
            ・トータルの論旨を無視した反論になる
            とか問題点もあるし、
            結局議論が切れちゃうので止めて欲しいとおもうなりよ。
    • by n68 (18156) on 2005年08月19日 21時00分 (#783975)
      > msdds.dll (Microsoft Design Tools - Diagram Surface)
      Microsoft Digital Devil Sto(ry

      # DDS と見るとこれしか思い浮かばない。
    • by Anonymous Coward on 2005年08月19日 16時39分 (#783899)
      | MSからの正式な対処法は公開されていません。
      セキュリティアドバイザリに載っているのはだめなんですか?
      # あれは「回避策」だという向きもおありでしょうが

      --
      バッチリ該当バージョンっぽいAC
    • やっと出た (スコア:0, 興味深い)

      by Anonymous Coward on 2005年08月19日 18時06分 (#783923)
      >回避法としては、washington postのSecurity Fixの記事によれば、IE以外のブラウザを使うことが推奨されています。

      ここをわたしは高く評価したい。

      いままでに、数え切れない、製品とは思えない程、バグ、脆弱性、その他の問題点が露呈して来たWindows/IE/OE/OFFICEですが、
      対策が発表される度に、やれ、パッチを当てろ、新しいバージョンを使え、ActiveXをOFFにしろ...
      と小手先ばかり、場当たり的な対策しか出て来ませんでした。
      その時点で「こりゃぁ、なんか変だな?」と思わないユーザーが多いことにも問題はありましたが、
      専門家であろう人たちの出す対策に
      これらの製品の使用を止める。
      という表現が使われることは全くと云っていい程ありませんでしたから。
      • Re:やっと出た (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2005年08月19日 18時13分 (#783929)
        > >回避法としては、washington postのSecurity Fixの記事によれば、IE以外のブラウザを使うことが推奨されています。
        > ここをわたしは高く評価したい。

        俺は逆に、ここを一番低く評価したい。
        [IE以外であればOKなんだな]というアホな考えを誘発するから。

        # 問題はプロダクトじゃなくてマネージメントなのですよ
        親コメント
      • Re:やっと出た (スコア:2, すばらしい洞察)

        by marie (14773) on 2005年08月19日 19時45分 (#783958) 日記
        Washington Postのこの記事を読んだ範囲だと、
        まだセキュリティアドバイザリが出る前の段階での
        回避法(応急処置ともいう)のようです。

        つまり、MS から正式な Hotfix がでるまでは
        「できるならIE を使うのを避けたほうがいい。」
        という(まさしく回避)ともことではないでしょうか?
        「もし、会社でどうしてもIEを使う必要があるなら、
         SANS のパッチをつかってみては?」という文脈によめます。

        それなので、早く Hotfix なり、Windows Update なり、
        Microsoft Update なりで MS からのパッチがでて、
        早急に対応できることが望ましいと思います。
        親コメント
      • by gendohki (16311) on 2005年08月19日 20時06分 (#783964)
        っ[超漢字]
        使わないって選択肢を取るなら徹底しないと。

        #いくつか手段(ブラウザ)を持っておくってのが一番無難だと思う。
        #FirefoxでもOperaでもダメな時は対応されるまでダメだし。
        #Windows以外はゲームが弱いし(それしか無いのか)。
        --
        --
        「なんとかインチキできんのか?」
        親コメント
      • by greentea (17971) on 2005年08月21日 2時06分 (#784563) 日記
        そうですね。IEは脆弱性があって危険なので使用をやめましょう。
        同様にMozillaやFirefoxなどのGeckoブラウザにも脆弱性はあるので、使用は控えるべきでしょう。
        その他、脆弱性が報告されているブラウザはどれも危険なのでやめたほうがいいですね。

        Javascriptも大体のサイトで問題ない程度には対応していてほしいです。
        最近では、Flashを使ったページが多いので、Flashプラグインが使用可能なブラウザがいいです。

        さて、そんなブラウザありましたっけ?

        # ブラウザを変えるってのも対処法のひとつ。
        # でも完全な対処法ではない。
        --
        1を聞いて0を知れ!
        親コメント
      • by Anonymous Coward
        代替製品でも同じ表現になるので、あまり意味がないです。
        使えないもの同士ならメジャーな IE を使用することをお勧めします。
      • by Anonymous Coward
        > 対策が発表される度に、やれ、パッチを当てろ、新しいバージョンを使え、ActiveXをOFFにしろ...
        > と小手先ばかり、場当たり的な対策しか出て来ませんでした。

        ActiveXはともかくとして、
        パッチ当てろ、新しいバージョン使え
        って言われるのは他のブラウザでも同じでは?
        • by chute (19365) on 2005年08月19日 19時18分 (#783946)
          元ACさんはOSも持ち出していて,それも何でも同じなので,

          「回避法としては、コンピュータを使わないことが推奨されています。」
          って書けば最高の評価かもね.
          親コメント
          • Re:やっと出た (スコア:2, すばらしい洞察)

            by Anonymous Coward on 2005年08月19日 19時43分 (#783957)
            自分でセキュリティ対策できない人には「コンピュータを使わないことを推奨」したい…

            --
            「王様の耳はロバの耳!」
            親コメント
            • 同じことを思ってしまいますけど、素晴らしい洞察は行き過ぎかと。
              “自分で~対策できない人には「~を使わないことを推奨」したい”
              いくつでも出てきそうです。実現不可能なことが。
              --
              やなぎ
              字面じゃなく論旨を読もう。モデレートはそれからだ
              親コメント
            • by Anonymous Coward
              とりあえずセキュリティ対策できないソフトを使うだけじゃなく、作るのも、やめてほしい。
              spamに耐性のないメール系システム全般とかそういうのも。
      • by Anonymous Coward
        個人で使ってる分ならともかく、企業となると「小手先の技」程度でもユーザ全員に周知させるのは大変だし、
        従わないヤツや、「分からないから出来ない」とのたまうヤツが必ず出てくる。

        全機能が使える「フルサイズIE」と、
    typodupeerror

    日本発のオープンソースソフトウェアは42件 -- ある官僚

    読み込み中...