マイクロソフトは4月12日,WindowsやInternet Explorer(IE)などに関するセキュリティ情報を5件公表した。細工が施されたWebサイトにアクセスするだけで被害を受ける危険なセキュリティ・ホールを含む。最大深刻度は最悪の「緊急」。対策はセキュリティ更新プログラム(修正パッチ)の適用。「Microsoft Update」や自動更新機能などから適用できる。IEの修正パッチには,Active Xコントロールの処理を変更するパッチが含まれるので要注意。
4月7日の予告どおり,今回公開されたセキュリティ情報は以下の5件(関連記事)。
(1)Internet Explorer用の累積的なセキュリティ更新プログラム (912812) (MS06-013)
(2)Microsoft Data Access Components (MDAC) の機能の脆弱性により,コードが実行される可能性がある (911562) (MS06-014)
(3)Windowsエクスプローラの脆弱性により,リモートでコードが実行される (908531) (MS06-015)
(4)Outlook Express用の累積的なセキュリティ更新プログラム (911567) (MS06-016)
(5)Microsoft FrontPage Server Extensions の脆弱性により,クロスサイト スクリプティングが起こる (917627) (MS06-017)
(1)は,IEに関するセキュリティ情報。最大深刻度は「緊急」。現在サポート対象のすべてのIEが影響を受ける。同情報には10種類のセキュリティ・ホールが含まれる。そのうちの一つである「CreateTextRangeの脆弱性(DHTMLメソッド コールのメモリの破損の脆弱性)」は3月末に明らかにされており,攻撃方法も明らかになっている(関連記事)。このセキュリティ・ホールを悪用する攻撃サイトが続出したために,マイクロソフトでは回避策などをまとめた「セキュリティアドバイザリ」を公表していた(関連記事)。
(2)は,Windowsに含まれるコンポーネント「Microsoft Data Access Components(MDAC)」に関するセキュリティ・ホール情報である。MDACに含まれるActiveXコントロールの一つに,リモートからプログラムを実行されるセキュリティ・ホールが存在する。このため,同コントロールを呼び出すような,細工が施されたWebサイトにアクセスするだけで,任意のプログラムを実行させられる恐れがある。
現在サポート対象のすべてのWindowsが影響を受ける。Windows Server 2003を除いて,深刻度はすべて「緊急」。Windows Server 2003の深刻度は上から3番目(下から2番目)の「警告」。
(3)はWindowsに含まれるWindowsエクスプローラに関するセキュリティ・ホール。現在サポート対象のすべてのWindowsが影響を受け,深刻度はいずれも「緊急」。Windowsエクスプローラに,特定のCOMオブジェクトを適切に処理できないセキュリティ・ホールが見つかった。このため,細工が施されたWebサイトへアクセスするだけで,任意のプログラムを実行させられる可能性がある。
(4)は,メール・ソフトOutlook Expressに関するセキュリティ情報。Windowsアドレス帳(.wab)を処理するOutlook Expressの機能にバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたwabファイルをOutlook Expressで開くと,ファイルに仕込まれた任意のプログラムを実行させられる可能性がある。
ただし,デスクトップに一度保存したwabファイルをOutlook Expressで開いた場合のみ影響を受ける。攻撃を成功させるシナリオが限定されているため,セキュリティ・ホールの最大深刻度は,上から2番目の「重要」に設定されている。
(5)は,FrontPage Server Extensions 2002およびSharePoint Team Services 2002が影響を受けるセキュリティ・ホール。これらにはクロスサイト・スクリプティングの脆弱性が存在するため,攻撃者により任意のプログラム(スクリプト)を実行される可能性がある。ただし,攻撃方法は限定されるため,最大深刻度は「警告」に設定されている。なお,Windows SharePoint Services,FrontPage 2002,FrontPage Server Extensions 2000は影響を受けない。
いずれのセキュリティ・ホールについても,対策は修正パッチを適用すること。Microsoft Updateから適用できる。また,自動更新機能を有効にしていれば自動的に適用される。ダウンロードセンターからも入手できる。
ただし,Windows 98/98SE/Meのパッチについては「Windows Update」からのみ適用可能。また,(4)についてはWindows 98/98SE/Meも影響を受けるものの,これらに関する深刻度が「緊急ではない」とされているため,パッチは提供されない。
また(5)については,SharePoint Team Services 2002用以外のパッチはダウンロードセンターから入手する必要がある。ダウンロードセンターへのリンクは,セキュリティ情報に記述されている。
(1)(2)(3)については,最大深刻度が「緊急」なので,確実にパッチを適用したい。特に,(1)に含まれる「CreateTextRangeの脆弱性(DHTMLメソッド コールのメモリの破損の脆弱性)」は攻撃方法が明らかになっている危険なセキュリティ・ホールであるため,これを修正するIEの累積パッチはすぐに適用したい。
ただし同パッチには,ActiveXコントロールを使用するページの処理方法を変更するパッチ(ActiveX更新プログラム)が含まれるので注意が必要である。このActiveX更新プログラムは,3月1日に単独で公開された「Internet Explorer用のセキュリティ以外の更新プログラム」に置き換わるもの。ActiveX更新プログラムを含むIEの累積パッチを適用すると,今まで利用できていたWebアプリケーションが正常に動作しなくなる可能性がある(関連記事)。
問題が発生した場合,あるいは発生する可能性がある場合には,IEの累積パッチを適用後,処理方法を元に戻す「互換性修正プログラム(Compatibility Update)」を適用する。互換性修正プログラムを適用すれば,6月公開予定のIEのパッチがリリースされるまで,ActiveXコントロールを使用するページの処理方法は現状のままとなる。互換性修正プログラムはダウンロードセンターからのみ適用可能。Microsoft Updateや自動更新などでは適用できない。同プログラムの詳細やダウンロードセンターのURLについては,「サポート技術情報 917425」を参照のこと。
マイクロソフトは同日,ウイルスなどを検出駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版も公開した。新版では,「Locksky」や「Reatle」,「Valla」に対応した。対象OSは,Windows 2000/XP/Server 2003。ダウンロードセンターやMicrosoft Updateから入手できる。「悪意のあるソフトウェアの削除ツール」ページでも利用できる。Windows XPとServer 2003 SP1についてはWindows Updateからも適用可能。
◎参考資料
◆2006年4月のセキュリティ情報
◆Internet Explorer用の累積的なセキュリティ更新プログラム (912812) (MS06-013)
◆Microsoft Data Access Components (MDAC) の機能の脆弱性により,コードが実行される可能性がある (911562) (MS06-014)
◆Windowsエクスプローラの脆弱性により,リモートでコードが実行される (908531) (MS06-015)
◆Outlook Express用の累積的なセキュリティ更新プログラム (911567) (MS06-016)
◆Microsoft FrontPage Server Extensions の脆弱性により,クロスサイト スクリプティングが起こる (917627) (MS06-017)
