▼ 2011/01/06(木) Windows の未修正の欠陥について
2010年1月6日時点で、Windows には未修正の重大な欠陥が複数存在します。
- マイクロソフト セキュリティ アドバイザリ (2488013) Internet Explorer の脆弱性により、リモートでコードが実行される
対象: Internet Explorer 6〜8 - マイクロソフト セキュリティ アドバイザリ (2490606) Graphics Rendering Engine の脆弱性により、リモートでコードが実行される
対象: Windows XP / Server 2003 / Vista / Server 2008
それぞれに回避策が存在します。
- Internet Explorer の欠陥については、Enhanced Mitigation Experience Toolkit v2.0 (EMET) を使うことで、欠陥を悪用した攻撃を回避できます。詳細については、マイクロソフト セキュリティ アドバイザリ (2488013) を参照してください。
- Graphics Rendering Engine の欠陥については、shimgvw.dll に対して ACL を設定する事で、欠陥を悪用した攻撃を回避できます。詳細については、マイクロソフト セキュリティ アドバイザリ (2490606) を参照してください。
予防の観点から、回避策の実行を推奨します。
2011.01.18 追記
Internet Explorer の脆弱性の件について、KB2488013 において Fix it ソリューションが公開されました。Internet Explorer に関して現時点で最も確実な対策は「Fix it を適用し、さらに EMET を設定する」です。
2011.01.31 追記
Graphics Rendering Engine の脆弱性の件、Fix it ソリューションが公開されました。KB2490606 を参照して下さい。shimgvw.dll の ACL を設定するものです。
また、上記 ACL 設定は Windows XP / Server 2003 にのみ有効であり、Windows Vista / Server 2008 については「Windows エクスプローラーで縮小版の表示を無効にする」必要があるそうです。詳細については マイクロソフト セキュリティ アドバイザリ (2490606) Graphics Rendering Engine の脆弱性により、リモートでコードが実行されるを参照して下さい。
これとは別に、未修正の欠陥がさらに登場しています。
- マイクロソフト セキュリティ アドバイザリ (2501696) MHTML の脆弱性により、情報漏えいが起こる
対象: Windows XP / Server 2003 / Vista / Server 2008 / 7 / Server 2008 R2
攻略手法が公開されており、この欠陥を利用したウイルスの登場が懸念されます。
MHTML を無効化することで、この欠陥を回避できます。KB2501696 において Fix it ソリューションが公開されており、簡単に無効化できます。無効化することを強く推奨します。
2011.02.10 追記
上記のうち IE と Graphics Rendering Engine の件は、2011 年 2 月の月例セキュリティ修正で修正されました。Microsoft Update の実行などにより適用できます。
なお、Fix it による回避策を実施した場合には、原則として無効にして下さい (無効にするための Fix it を適用して下さい)。特に、Graphics Rendering Engine の脆弱性の件の Fix it ソリューションを実施していた場合には、回避策を無効にしないと修正プログラムを適用できません。
EMET の設定については、そのままでもよいでしょう。
2011.02.14 追記
2011 年 2 月の月例セキュリティ修正では MHTML の件は修正されていませんでした。それにあわせて上記を修正しました。
- TB-URL(確認後に公開) http://133.83.35.83/blog/adiary.cgi/vuln/0322/tb/