公開日:2005/08/22 最終更新日:2005/08/22

JVNVU#740372
Microsoft DDS Library Shape Control(msdds.dll) COM オブジェクトにおける脆弱性

概要

COM オブジェクトの一種である Microsoft DDS Library Shape Control には、遠隔の第三者によって任意のコードが実行できる脆弱性が存在します。

Microsoft DDS Library Shape Control の機能は、msdds.dll によって提供されており、Visual Studio .NET もしくは Microsoft Office をインストールした Windows に存在します。

既に Exploit コードが公開されているので、ベンダ情報に従って対策することを推奨します。

影響を受けるシステム

  • msdds.dll バージョン 7.0.9064.9112 と 7.0.9466.0

詳細情報

想定される影響

遠隔の第三者によって特別に用意された HTML ドキュメント(Web ページや HTML メールなど)を閲覧することにより、ログインしているユーザの権限で任意のコードを実行される可能性があります。
また、遠隔の第三者によって IE を異常終了される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
Microsoft COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある

参考情報

  1. US-CERT Vulnerability Note VU#740372
    Microsoft DDS Library Shape Control (msdds.dll) COM object contains an unspecified vulnerability
  2. US-CERT Vulnerability Note VU#680526
    Microsoft Internet Explorer allows non-ActiveX COM objects to be instantiated
  3. Secunia Advisory:SA16480
    Microsoft DDS Library Shape Control Code Execution Vulnerability
  4. SANS - Internet Storm Center
    Documentation: Setting 'Killbit' for msdds.dll

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2005-2127
JVN iPedia