マイクロソフトは27日、Internet Explorer(IE)に見つかったVML(Vector Markup Language)の脆弱性を修正するセキュリティ更新プログラムを公開した。深刻度は最大の「緊急」で、同社はただちに更新プログラムをインストールするよう勧めている。
VMLの脆弱性は、今月19日に悪意のあるプログラムを仕掛ける悪質な攻撃コードの存在とともに明らかになったもの。細工されたウェブサイトやHTMLメールを閲覧するとコード実行の恐れがあり、これを悪用したウェブサイトが多数出現し危険な状態になっていた。同社は、来月11日の月例アップデートまでには更新プログラムを提供するとしていたが、月例アップデートを待たずに緊急公開となった。
対象は、Windows XP SP2、Windows XP Professional x64、Windows Server 2003の全てのバージョンと、Windows XP SP1 上の IE 6 SP1、Windows 2000 SP4 上の IE 6 SP1、Windows 2000全バージョン上の IE 5.01 SP4。更新プログラムの提供は「Microsoft Update」および「マイクロソフトダウンロードセンター」で行われており、自動更新が有効に設定されていれば自動的に更新される。
なお、脆弱性の一時的な回避策として、9月22日付の当記事を参考に「Vgx.dll」の登録を解除した方は、セキュリティ更新プログラムの適用前または適用後に、下記の「Vgx.dllの再登録方法」手順に従って再登録することにより、VMLが利用できるようになる。
9月20日付の当記事を参考に「アクティブスクリプト」の無効化や「バイナリとスクリプトのビヘイビアとスクリプトビヘイビア」の無効化を実施した方は、IEツールバーのインターネットオプション内にあるセキュリティレベルのカスタマイズを使って元に戻す。
マイクロソフトが示していたもうひとつの回避策「VGX.DLL のアクセス制御リスト (ACL) をさらに制限的であるように変更する」を実施した方は、セキュリティ更新プログラムの適用前にACLを元の状態に戻しておく必要がある。
【Vgx.dllの再登録方法】
(1) [スタート] メニューの [ファイル名を指定して実行] に 「regsvr32 "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"」(「」は不要)と入力し[OK]をクリック。
(2)「~\vgx.dll の DllRegisterServer は成功しました。」というダイアログボックスが表示されるので、[OK]をクリックして閉じる。
(2006/09/27 ネットセキュリティニュース)
■ Vector Markup Language の脆弱性により、リモートでコードが実行される (925486) (MS06-055)(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/MS06-055.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】IEの脆弱性を悪用するウェブサイトが多数出現(2006/09/22)
・【ゼロデイ攻撃】Internet Explorerに、またも深刻な脆弱性(2006/09/20)