マイクロソフトやウイルス対策ソフトウェア・ベンダ各社は、「TechNetセキュリティ情報：MS05-039」の脆弱性を悪用するワーム「Zotob（ゾドブ）」とその亜種が出現したことを明らかにした。Zotobワームは、MS05-039の脆弱性を悪用してネットワーク経由でWindows 2000に直接感染した後、バックドアを開いてそのコンピュータをリモート操作可能にしたうえ、ほかのコンピュータに対するプログラムのコピーなどを実行、感染を広げる。バックドアとして開くポートや拡散の方法が異なる多くの亜種が出現している（シマンテックによれば、2005年8月20日時点でZotob.AからIまでの9種類が存在している）。

・セキュリティ・アドバイザリ 899588（プラグ アンド プレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる）：
http://www.microsoft.com/japan/technet/security/advisory/899588.mspx

・HotFix Alert MS05-039（プラグ・アンド・プレイ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-039.html

・サポート技術情報 906315（MS05-039 を悪用した Zotob （ゾトブ） ワームに関する情報）：
http://support.microsoft.com/default.aspx?scid=kb;ja;906315

・シマンテック（W32.Zotob.A）：
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.zotob.a.html

・トレンドマイクロ（WORM_ZOTOB.A）：
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=WORM_ZOTOB.A

・マカフィー（W32/Zotob.worm）：
http://www.mcafeesecurity.com/japan/security/virXYZ.asp?v=W32/Zotob.worm

　Zotobワームは、MS05-039の修正プログラムを適用していれば感染する危険はない（ただし、ユーザーが明示的にワーム本体の実行ファイルを実行してしまうと、OSに関係なく感染し、ほかのコンピュータに対して感染を広げる可能性がある）。またすでにウイルス対策ソフトウェアは、Zotobワームに対応している。

　感染している可能性がある場合は、「Microsoft Windows 悪意のあるソフトウェアの削除ツール」の最新版（バージョン1.7A）がZotobワームに対応しているので、まずはWindows Update／Microsoft Updateで「Microsoft Windows 悪意のあるソフトウェアの削除ツール」を実行するか、ダウンロード・センターからダウンロードして実行すればよい。ただし、Zotobの全亜種に対応しているわけではないので、最新の定義ファイルを組み込んだウイルス対策ソフトウェアで削除するのが望ましい。いずれにせよ削除した後には、MS05-039の修正プログラムを適用することを忘れないこと。

・サポート技術情報 890830（Windows Server 2003、Windows XP、または Windows 2000 を実行するコンピュータから、流行している特定の悪質なソフトウェアを削除する Microsoft Windows 悪意のあるソフトウェアの削除ツール）：
http://support.microsoft.com/default.aspx?scid=kb;ja;890830

・ダウンロード・センター（Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830)）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&DisplayLang=ja

関連HotFix Report BBS関連スレッド：
・MS05-039を利用するワーム「Zotob.A」が発生
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3726

　マイクロソフトは、Microsoft DDS Library Shape Control（msdds.dll）がInternet Explorer（IE）で表示されたWebページから呼び出された際に、コンピュータをリモート操作可能にしたり、IEを異常終了させたりする脆弱性が存在することを明らかにした。msdds.dllは、Visual Studioデータベース・ダイアグラムのようなコンポーネントによってデータベースのオブジェクトを視覚化するために使用されるCOMオブジェクトで、Visual Studio .NET 2002／2003、Access 2002／2003（Office XP／2003）に含まれる。デフォルトのWindowsにはインストールされていない。

・セキュリティ・アドバイザリ 906267（COM オブジェクト (Msdds.dll) により Internet Explorer が予期なく終了する可能性がある）：
http://www.microsoft.com/japan/technet/security/advisory/906267.mspx

・The SANS Institute（Internet Explorer (.Net) 0day msdds.dll Exploit & Patch）
http://isc.sans.org/diary.php?date=2005-08-18

・FrSIRT（Microsoft Internet Explorer "Msdds.dll" Remote Code Execution）：（アドバイザリ）
http://www.frsirt.com/english/advisories/2005/1450

・Secunia（Microsoft DDS Library Shape Control Code Execution Vulnerability）：
http://secunia.com/advisories/16480/

　この脆弱性も、MS05-037やMS05-038の脆弱性と同様、本来はIEを介してアクセスされるように設計されていない非ActiveXコントロール（COMオブジェクトなど）のインスタンスが、IE経由で作成できてしまうことに起因するものである。MS05-038の修正プログラムでは、デフォルトのWindowsに含まれる危険性のあるCOMオブジェクトに対する対策が行われたが、Officeなどで追加されるCOMオブジェクトについては対象になっていなかった。

・HotFix Alert MS05-037（JViewプロファイラ（Javaprxy.dll）の脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-037.html

・HotFix Alert MS05-038（Internet ExplorerのJPEGイメージ処理の脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-038.html

　セキュリティ・アドバイザリによると、脆弱性が存在するmsdds.dllのバージョンは、7.0.9064.9112と7.0.9446.0のみで、7.0.9955.0、7.10.3077.0またはそれ以降のmsdds.dllについては、脆弱性の影響を受けないとしている。Visual Studio .NET 2002 SP1やOffice 2003に含まれるmsdds.dllには、脆弱性は存在しない。またAccess 2002 SP3（Office XP SP3）の場合、msvcr70.dllとmsvscp70.dllの2つのファイルがIEのプロセスからアクセスできると脆弱性の影響を受けてしまう。具体的には、これら2つのファイルがmsdds.dllと同じフォルダか、%SystemRoot%\system32\フォルダにインストールされている場合が挙げられている。念のため、脆弱性のあるmsdss.dllが存在するコンピュータでは、実行パス（PATH環境変数に記されているパス）にこれら2つのファイルが存在しないことも確認しておこう。

■FrSIRTが実証コードを公開
　FrSIRTは、msdds.dllの脆弱性に対する実証コードを公開している。この実証コードが悪用されることも懸念されるので、該当するバージョンのmsdds.dllがインストールされている場合、回避策を至急実施した方がよい。

・FrSIRT（Microsoft Internet Explorer "Msdds.dll" Remote Code Execution Exploit (0day)）：（実証コード）
http://www.frsirt.com/exploits/20050817.IE-Msddsdll-0day.php

■msdds.dllの脆弱性に対する回避策
　セキュリティ・アドバイザリでは回避策として、msdds.dllのCOMコントロールをIE上から実行できないようにkillbit（HTMLレンダリング・エンジンにより、ActiveXコントロールが読み込まれないようにするInternet Explorerのセキュリティ機能）を設定すること、IEのセキュリティ設定を「高」にしてActiveXが実行されないように設定すること、などが紹介されている。なおkillbitは、以下のレジストリ・キーの値にデータ「0x00000400」を設定すればよい。

　また以下のコマンドを実行し、COMコンポーネントからmsdds.dllの登録を削除してもよい。

　なお原稿執筆時点では、マイクロソフトから修正プログラムは提供されていない。「JViewプロファイラ（Javaprxy.dll）の脆弱性」のときと同様、killbitを設定する修正プログラムが近日中に提供される可能性もあるが、すでに実証コードが公開されていることから、脆弱性が存在する場合は上述の回避策を至急実施した方がよい。

関連HotFix Report BBS関連スレッド：
・IE6 SP2 に 0day 攻撃？
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3773

　「TechNetセキュリティ情報：MS05-038」で説明されている脆弱性を悪用するWebサイトと実証コードが公開された。

・HotFix Alert MS05-038（Internet ExplorerのJPEGイメージ処理の脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-038.html

・TechNetセキュリティ情報 MS05-038（Internet Explorer 用の累積的なセキュリティ更新プログラム）：
http://www.microsoft.com/japan/technet/security/Bulletin/MS05-038.mspx

　Websenseによると、スウェーデンにホスティングされているWebサイトがMS05-038の脆弱性（devenum.dll）を悪用しているのを発見したと報告している。

・Websense（Malicious Website / Malicious Code: Exploits of MS05-038 in the wild）：
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=259

　またFrSIRTは、MS05-038の脆弱性に対する2種類の実証コードを公開した。1つは、「COMオブジェクトのインスタンス化のメモリ破損の脆弱性」に対応したもので、以前に公開されたJavaprxy.dllを利用するものではなく、MS05-038で新たに解消された「blnmgr.dll」を対象にしたものである。2つめは、詳細不明だが、MS05-038の脆弱性を利用して、ファイルのダウンロードを可能にする実証コードのようだ。今後、ほかのCOMオブジェクトに対する実証コードや、任意のコードを実行するように改変した実証コードが開発される可能性もある。ワームなどに悪用される危険性も高いので注意して動向を観察する必要があるだろう。もちろんMS05-038の修正プログラムは早急に適用しておきたい。

・FrSIRT（Microsoft Internet Explorer COM Objects Instantiation Exploit (MS05-038)）：
http://www.frsirt.com/exploits/20050809.MS05-038.pl.php

・FrSIRT（Microsoft Internet Explorer COM Objects File Download Exploit (MS05-038)）：
http://www.frsirt.com/exploits/20050811.MS05-038.c.php

関連HotFix Report BBS関連スレッド：
・MS05-038［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3668

　アドビシステムズは、AcrobatとAdobe Readerのプラグインの一部にバッファ・オーバーフローの脆弱性が存在し、リモートで任意のコードが実行される危険性のあることを明らかにした。細工されたPDFファイルが開かれると、内部に仕込まれたコードが実行されてしまう。

・アドビシステムズ（Acrobat / Adobe Reader プラグインのバッファオーバーフローの脆弱性に関するセキュリティ情報）：
http://support.adobe.co.jp/faq/faq/qadoc.sv?226798+002

　アドビシステムズでは、この脆弱性を解消したバージョンの提供を行っている。該当する製品を利用している場合は、対応する修正プログラムを適用し、バージョンアップした方がよい。

■Acrobat 6.0〜6.0.3の場合
　Acrobat 6.0〜6.0.3を利用している場合、脆弱性が解消済みのAcrobat 6.0.4にバージョンアップする。それにはまず、Acrobat 6.0.3にバージョンアップ後、脆弱性を解消するための修正プログラム「Adobe Acrobat 6.0.4 Professional and Standard アップデート」を適用する。

・アドビステムズ（Adobe Acrobat 6.0.4 Professional and Standard アップデート）
http://www.adobe.co.jp/support/downloads/2991.html

■Acrobat 7.0〜7.0.2
　Acrobat 7.0〜7.0.2を利用している場合は、まず7.0.2にバージョンアップ後、脆弱性を解消するための修正プログラム「Adobe Acrobat 7.0.3 Professional and Standard アップデート」を適用する。

・アドビステムズ（Adobe Acrobat 7.0.3 Professional and Standard アップデート）
http://www.adobe.co.jp/support/downloads/2990.html

■Acrobat Reader 5.1の場合
　以下の「Adobe Readerのダウンロード」で指示に従いAdobe Reader 7.0.0を ダウンロード／インストール後、7.0.1、7.0.2、7.0.3の修正プログラムを順番に適用し、Adobe Reader 7.0.3へバージョンアップする。

・アドビステムズ（Adobe Readerのダウンロード）
http://www.adobe.co.jp/products/acrobat/readstep2.html

　Acrobat Reader 5.0x以前についても、なるべくAdobe Reader 7.0.3へバージョンアップすべきだろう。

■Adobe Reader 6.0〜6.0.3の場合
　Adobe Reader 6.0〜6.0.3を利用しており、かつAdobe Reader 7.0.3へバージョンアップできない場合、脆弱性が解消済みのAdobe Reader 6.0.4にバージョンアップする。それにはまず、Adobe Reader 6.0.3にバージョンアップ後、脆弱性を解消するための修正プログラム「Adobe Reader 6.0.4 アップデート」を適用する。

・アドビステムズ（Adobe Reader 6.0.4 アップデート）
http://www.adobe.co.jp/support/downloads/2988.html

■Adobe Reader 7.0〜7.0.2の場合
　Adobe Reader 7.0〜7.0.2を利用している場合は、まず7.0.2にバージョンアップ後、脆弱性を解消するための修正プログラム「Adobe Reader 7.0.3 アップデート」を適用する。

・アドビステムズ（Adobe Reader 7.0.3 アップデート）
http://www.adobe.co.jp/support/downloads/2986.html

関連HotFix Report BBS関連スレッド：
・Adobe Acrobat / Reader にバッファ オーバーフローの脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3746