MSのセキュリティアドバイザリがやっとでたそうです。
これ、Full-Disclosureでかなりまえから話題になっていました。
この脆弱性の問題は、まだMSからのパッチがでていないのに
すでにExploitがでまわっています。
0day exploit といったらわかりますかね?
このExploitがあると、あとからTelnetで遠隔操作できます。
この脆弱性の対象製品は、OSは関係なく、
Office2003に付属するもの以外の、msdds.dllをもっているもの。
.Net Framework 1.1 と
Office2003を除く、Office2000以降のOffice
Access 2003のランタイム, Project, Visio,
ATIの一部のカードドライバ
"Program Files\Common Files\MicrosoftShared\MSDesigners7"
ここにも存在するかもしれません。
対処法は。。
IEを使わないこと。
IEがどうしてもいるなら、MS非公認ですが、
http://isc.sans.org//diary.php?date=2005-08-18
ここのパッチをあてること。
わかんないパッチは当てたくないなら、
Using a registry editor, you can set "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\EC444CB6-3E7E-4865-B1C3- 0DE72EF39B3F\Compatibility Flags=0x00000400" to set the kill bit for the component. Whether this will break mission critical apps requires testing, as usual.
としてKill Bitかな。
参考文献
eweek
washington post の Security Fix