評価してください: 

 

Kill Bit アクション プロセス

導入

ActiveX コントロールは、「アドオン」とも呼ばれる小さいプログラムで、インターネット上で使用されます。これらのコントロールは、マイクロソフト、あるいはサードパーティのソフトウェア開発者によって開発される可能性があります。

 

ActiveX コントロールでソフトウェアの脆弱性が発見された場合、そのコントロールの所有者、マイクロソフト、もしくはサードパーティの開発者は、脆弱性を解決し、新しいバージョンのコントロールをリリースする必要があります。また、より古く、脆弱性のあるバージョンのコントロールが Internet Explorer 内で実行されるのを阻止する、Kill Bit が発行される場合もあります。


このページでは、マイクロソフトが ActiveX コントロールの脆弱性に対して Kill Bit を発行するプロセス、そしてコントロールの所有者がサードパーティの開発者である場合に、その開発者が Kill Bit を確実に発行するためにとらなければならない手順について解説しています。


Kill Bit とは何ですか?

Kill Bit は、ActiveX コントロールの実行を阻止します。これは、特定の Class Identifier (CLSID) 用のレジストリ エントリで、ブラウザー、およびその他のスクリプト可能な環境下で ActiveX コントロールを読み込まないように設定し、コードが実行されるのを防ぎます。

 

サードパーティの ActiveX コントロールにソフトウェアの脆弱性がある場合、コントロールの所有者が脆弱性を解決、コントロールの CLSID を改定、そして新しいバージョンのコントロールをリリースする必要があります。その時点で、サードパーティからマイクロソフトに対して、より古く、脆弱性のあるバージョンのコントロールが実行されるのを阻止する Kill Bit を発行するように依頼がある場合もあります。


マイクロソフトは、サードパーティが脆弱性を解決するまで、サードパーティの ActiveX コントロール用に Kill Bit を発行しません。しかしながら、脆弱性に対して著しい攻撃が発生した場合には、これら要件に対して例外を設けて、 協調的な脆弱性の公開 の実施で説明されているように、ベンダーと調整した後で Kill Bit を発行することに決定しました。

Kill Bit に関する詳細な技術情報については、下記の Security Research & Defense の FAQ のブログ投稿を参照してください:

どのようにして、脆弱性のある ActiveX コントロールが発見されるのでしょうか?

ActiveX コントロールの脆弱性はさまざまな方法で発見されます:

  • マイクロソフトは、通常の開発、あるいはテスト作業、もしくはマイクロソフト脆弱性調査 (MSVR) プログラムを通じて実施された調査の過程で、脆弱性のある ActiveX コントロールを発見する場合があります。
  • コントロールの所有者、あるいはその他のサードパーティから、Microsoft Security Response Center (MSRC) に脆弱なコントロールが報告がされる場合があります。
  • コントロールの所有者が脆弱性を解決する前に脆弱性が一般に公開されてしまった場合は、その脆弱性が、ゼロデイ公開となる場合があります。

マイクロソフトは、いつ Kill Bit を発行するのでしょうか?

ソフトウェアの脆弱性がマイクロソフト所有の ActiveX コントロールに存在する場合、マイクロソフトは、セキュリティ情報、あるいはセキュリティ アドバイザリなどの定着したセキュリティ更新プログラム プロセスを介して問題を解決します。もし、脆弱性がサードパーティの ActiveX コントロールに存在し、問題が所有者によって解決されない場合、マイクロソフト脆弱性調査 (MSVR) チームがその所有者と協調して、修正を実行できるよう支援します。


いったん、ソフトウェアの脆弱性が解決されたら、サードパーティは自身のコントロールの CLSID を改定し、コントロールの更新版をリリースしなければなりません。この時点で、所有者から Kill Bit を発行するよう依頼があった場合、MSVR、および MSRC がそのプロセスを管理し、マイクロソフト セキュリティ更新プログラムのリリース プロセスで Kill Bit が発行されます。


時々、サードパーティ製コントロールの脆弱性が別のサードパーティから報告されます。これらのケースでは、MSVR がそのコントロールの所有者に、問題を確認し、修正作業を実行するよう連絡します。このプロセスの間、コントロールの所有者が自身のコントロール用に Kill Bit を依頼する場合もあります。MSVR は、コントロールの所有者と密接に協力し、コントロールのユーザーが支障をきたさないよう支援します。


マイクロソフトは、サードパーティが脆弱性を解決するまで、サードパーティの ActiveX コントロール用の Kill Bit は発行しません。しかしながら、脆弱性に対して著しい攻撃が発生した場合には、これら要件に対して例外を設けて、 協調的な脆弱性の公開 の実施で説明されているように、ベンダーと調整した後で Kill Bit を発行することに決定しました。


コントロール所有者であるサードパーティ開発者がとるべきアクションの手順

以下は、サードパーティが、自身が所有する ActiveX コントロールの脆弱性を認識した時点でとるべき手順です:

  • 脆弱性のない新しいバージョンのコントロールを開発する。
  • コントロールの CLSID を改定する。
  • コントロールの古いバージョンに対して、Kill Bit を発行するよう依頼する。

マイクロソフトがサードパーティに代わり Kill Bit を発行するようサードパーティから依頼があった場合、マイクロソフトはコントロール所有者から以下の情報を求めます:


個々の ActiveX コントロールに対し、以下を提供してください:

1.     この脆弱なコントロールに関する、アドバイザリの一般公開 URL。

2.     御社が、このコントロールのオリジナルの開発者でしょうか?

3.     Kill Bit を依頼するコンポーネントの CLSID はどれですか?

4.     その他のCLSID の古いバージョンはありますか、またあればその CLSID はどれですか?

5.     このコントロールは Internet Explorer でのインスタンスの作成を目的としたものですか?

6.     このコントロールは IObjectSafety を実装していますか?

7.     このコントロールは SFI、あるいは SFS と判定されていますか?

8.     このコントロールはどの程度普及していますか? どの製品で出荷されていますか?

9.     このコンポーネントは一般に公開されていますか?

10.  更新プログラムで、 http://support.microsoft.com/kb/240797/ja に基づいてCLSID を改定し、Kill Bit (および AleternateCLSID) を設定しますか?

11.  インターネット上に署名されたバージョンのコントロールが存在する場合は、その位置を提供してください。

脆弱なActiveX コントロール用に Kill Bit を発行するようマイクロソフトに依頼するには、上記の情報を msvr@microsoft.com (英語のみ) に送信してください。

Kill Bit に関する詳細な技術情報、およびマイクロソフトが Kill Bit の作成とリリースのプロセスをどのように管理しているかについては、下記の Security Research & Defense の FAQ のブログ投稿を参照してください。

おすすめのダウンロード

セキュリティ更新プログラム ガイド
ダウンロードする

お客様を保護するためにマイクロソフトがどのように脆弱性を管理しているのか内部情報を入手する

セキュリティチームのブログ

Microsoft セキュリティ : セキュリティ インシデント | セキュリティ問題の調査 | エンジニアリング