Internet Explorer の脆弱性に関して　セキュリティアドバイザリが更新

に関して．

　マイクロソフトセキュリティアドバイザリ (961051)が更新され，回避策が3件追加されている．

インターネットおよびローカルイントラネットゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブスクリプトを実行する前にダイアログを表示する
インターネットおよびイントラネットゾーンで、アクティブスクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、またはアクティブスクリプトを無効にするよう構成する
Internet Explorer 7 の DEP を有効にする
ACL を使用して OLEDB32.DLL を無効にする
OLEDB32.dllのRow Position機能を無効にする
OLEDB32.DLL の登録を解除する
ACL を使用して OLEDB32.DLL を無効にする
Windows VistaおよびWindows Server 2008上のInternet Explorer 7で、DEPを有効にする方法
Internet Explorer 8 のデータバインディングサポートを無効にする

各回避策の設定方法等，詳しくはマイクロソフトセキュリティアドバイザリ (961051)を参照されたい．

追記　2008/12/14 14:00

　IEの脆弱性に対する各次善策に関して，下記"Security Vulnerability Research & Defense"に分かりやすい分類が載っていたので紹介する．

　Clarification on the various workarounds from the recent IE advisory - Security Vulnerability Research & Defense

(A) block access to the vulnerable code in MSHTML.dll via OLEDB, protecting against current attacks
(B) apply the most secure configuration against this specific vulnerability.
Optionally, you may choose to (C) make it much harder to heap spray.
The table below lists what type of protection each advisory workaround provides.

Workaround A B C

1. Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones X X

2. Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone X X

3. Disable XML Island Functionality X

4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL X

5. Disable Row Position functionality of OLEDB32.dll X

6. Unregister OLEDB32.DLL X

7. Use ACL to disable OLEDB32.DLL X

8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008 X

9. Disable Data Binding support in Internet Explorer 8 X X

Applying a workaround from the (A) column will protect against current attacks but to comprehensively protect against the vulnerability, we recommend that you also apply a workaround from the (B) column.
　　　　　Clarification on the various workarounds from the recent IE advisory - Security Vulnerability Research & Defenseより引用

Workaround	A	B	C
1. Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones		X	X
2. Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone		X	X
3. Disable XML Island Functionality	X
4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL	X
5. Disable Row Position functionality of OLEDB32.dll	X
6. Unregister OLEDB32.DLL	X
7. Use ACL to disable OLEDB32.DLL	X
8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008			X
9. Disable Data Binding support in Internet Explorer 8	X	X

　（A)コラムの回避策は，現在確認されている攻撃を防ぎ，「OLEDB」経由で「MSHTML.dll」に攻撃コードがアクセスすることを防ぐ．（B)コラムの回避策は，今回の脆弱性に対して最も効果がある設定である．（C)の設定は，補助的な対策であり，より"heap spray"を困難にすることが出来る．（A)に属する回避策は，現在確認されている攻撃を防ぐことが出来るが，脆弱性に対して総合的な対策をするならば，（B)に属する回避策を合わせて適用することが推奨される・・とのこと．

　回避策に関して，それぞれシステムに影響を及ぼすため，影響の少ないものを選択して適用する必要性がある．各回避策の影響に関しては，

　マイクロソフトセキュリティアドバイザリ (961051)

を参照して欲しい．

　一般ユーザーに関しては，OperaやFirefoxといったIE以外のブラウザを使うほうが賢明だろう．

関連：
[1] IEの脆弱性は全バージョンに影響　MSがアドバイザリを公開
[2] 12月月例パッチが公開されるも，3つの未修正の脆弱性が存在する