Internet Explorer の脆弱性に関して セキュリティアドバイザリが更新
に関して.
マイクロソフト セキュリティ アドバイザリ (961051)が更新され,回避策が3件追加されている.
- インターネットおよびローカル イントラネット ゾーンの設定を「高」に設定し、これらのゾーンで ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する
- インターネットおよびイントラネット ゾーンで、アクティブ スクリプトの実行前にダイアログを表示するように Internet Explorer を構成する、または アクティブ スクリプトを無効にするよう構成する
- Internet Explorer 7 の DEP を有効にする
- ACL を使用して OLEDB32.DLL を無効にする
- OLEDB32.dllのRow Position機能を無効にする
- OLEDB32.DLL の登録を解除する
- ACL を使用して OLEDB32.DLL を無効にする
- Windows VistaおよびWindows Server 2008上のInternet Explorer 7で、DEPを有効にする方法
- Internet Explorer 8 のデータ バインディング サポートを無効にする
各回避策の設定方法等,詳しくはマイクロソフト セキュリティ アドバイザリ (961051)を参照されたい.
追記 2008/12/14 14:00
IEの脆弱性に対する各次善策に関して,下記"Security Vulnerability Research & Defense"に分かりやすい分類が載っていたので紹介する.
(A) block access to the vulnerable code in MSHTML.dll via OLEDB, protecting against current attacks
(B) apply the most secure configuration against this specific vulnerability.
Optionally, you may choose to (C) make it much harder to heap spray.The table below lists what type of protection each advisory workaround provides.
Workaround A B C 1. Set Internet and Local intranet security zone settings to "High" to prompt before running ActiveX Controls and Active Scripting in these zones X X 2. Configure Internet Explorer to prompt before running Active Scripting or to disable Active Scripting in the Internet and Local intranet security zone X X 3. Disable XML Island Functionality X 4. Restrict Internet Explorer from using OLEDB32.dll with an Integrity Level ACL X 5. Disable Row Position functionality of OLEDB32.dll X 6. Unregister OLEDB32.DLL X 7. Use ACL to disable OLEDB32.DLL X 8. Enable DEP for Internet Explorer 7 on Windows Vista and on Windows Server 2008 X 9. Disable Data Binding support in Internet Explorer 8 X X Applying a workaround from the (A) column will protect against current attacks but to comprehensively protect against the vulnerability, we recommend that you also apply a workaround from the (B) column.
Clarification on the various workarounds from the recent IE advisory - Security Vulnerability Research & Defenseより引用
(A)コラムの回避策は,現在確認されている攻撃を防ぎ,「OLEDB」経由で「MSHTML.dll」に攻撃コードがアクセスすることを防ぐ.(B)コラムの回避策は,今回の脆弱性に対して最も効果がある設定である.(C)の設定は,補助的な対策であり,より"heap spray"を困難にすることが出来る.(A)に属する回避策は,現在確認されている攻撃を防ぐことが出来るが,脆弱性に対して総合的な対策をするならば,(B)に属する回避策を合わせて適用することが推奨される・・とのこと.
回避策に関して,それぞれシステムに影響を及ぼすため,影響の少ないものを選択して適用する必要性がある.各回避策の影響に関しては,
マイクロソフト セキュリティ アドバイザリ (961051)
を参照して欲しい.
一般ユーザーに関しては,OperaやFirefoxといったIE以外のブラウザを使うほうが賢明だろう.
関連: [1] IEの脆弱性は全バージョンに影響 MSがアドバイザリを公開 [2] 12月月例パッチが公開されるも,3つの未修正の脆弱性が存在する