マイクロソフトは8月23日,同日予定していたInternet Explorer(IE)用修正パッチ(セキュリティ更新プログラム)の再リリースを延期することを発表した。加えて同パッチには,IEを不正終了させるだけではなく,任意のプログラムを実行されるようなセキュリティ上の問題(脆弱性,セキュリティ・ホール)が発覚したことも明らかにした。
8月9日に公開された「Internet Explorer 用の累積的なセキュリティ更新プログラム (918899) (MS06-042)」の修正パッチには,IEを不正終了させる問題が見つかった(関連記事:8月の修正パッチにIEが不正終了する問題)。
影響を受けるのは,Windows 2000 SP4およびWindows XP SP1のIE 6 SP1。このパッチを適用したWindows 2000 SP4/XP SP1上のIE 6 SP1で,HTTP 1.1プロトコルと圧縮を使っているWebサイトにアクセスすると,IEが不正終了してしまう。Windows XP SP2やServer 2003/2003 SP1は影響を受けない。また,IE 5.01(Windows 2000)やIE 7ベータ版も影響を受けない。
マイクロソフトではこの問題を解消するためのパッチ(hotfix)を用意したものの,Webサイトでは公開せずに,サポートセンターへ問い合わせたユーザーだけに提供するとしていた。その後,問題を解消した新しい修正パッチを,Microsoft Update/Windows UpdateやWebサイトで8月23日に公開すると発表していた(関連記事:MSがIE用パッチの修正版をリリース予定)。
しかし同日,リリース予定の新しい修正パッチに,最終テストで問題が発見されたためにリリースを取りやめた。米Microsoftのスタッフによる公式ブログによると,リリースを予定していた修正パッチには,ユーザーによっては適切に展開/適用できない問題が見つかったという。同社では,同パッチの品質が改善され次第,改めてリリースする予定。現時点ではリリース日は未定。
任意のプログラムを実行される恐れ
マイクロソフトは同日,新しいパッチのリリース延期に併せて,IEを不正終了させる今回の問題は悪用可能(Exploitable)であることも明らかにした。具体的には,「MS06-042」のパッチを適用したWindows 2000 SP4/XP SP1のIE 6 SP1で,細工が施されたHTTP 1.1プロトコル/圧縮を使うWebサイトにアクセスすると,攻撃者が仕込んだ任意のプログラムを実行される恐れがあるという。
新しいパッチのリリースが延期されたために,現時点ではこの問題(セキュリティ・ホール)を根本的に解消する方法は存在しない。回避策は,HTTP 1.1プロトコルを無効にすること。IEの「ツール」メニューで「インターネット オプション」をクリックし,「詳細設定」タブで表示される「HTTP 1.1設定」の「HTTP 1.1を使用する」のチェックを外せば無効にできる。
マイクロソフトのセキュリティ・チームでは,影響を受けないWindows XP SP2へのアップグレードも回避策の一つであるとし,Windows XP SP1のユーザーに対して,Windows XP SP2への移行を勧めている。
「MS06-042」のパッチを適用するとセキュリティ上の問題が発生することが明らかにされたものの,同パッチでは,より危険なセキュリティ・ホールが複数修正される。そのなかには,攻撃方法や攻撃プログラムが公表されているものもある。
このため米SANS Instituteなどでは,「MS06-042」のパッチは適用したうえで(適用したままで)回避策を施すことを勧めている。また,新しいパッチがリリースされるまでは,IE以外のブラウザ(FirefoxやOperaなど)を使うことも考慮するようアドバイスしている。
マイクロソフトでは,「MS06-042」のパッチ適用で発生するセキュリティ・ホールを悪用する攻撃は,現時点では確認していないとする。同社では,このセキュリティ・ホールの詳細について,引き続き調査をしている段階であるという。
・マイクロソフトの情報
・IEBlogの情報
・日本のセキュリティチームのBlog
・米SANS Instituteの情報
