セキュリティ組織の米US-CERTは現地時間9月27日,Internet Explorer(IE)が影響を受けるセキュリティ・ホールを突くプログラム(Exploit)が公開されているとして注意を呼びかけた。このプログラムを悪用されれば,アクセスしただけで悪質なプログラムを実行させられるWebページを構築される恐れがある。セキュリティ・ホールは7月に報告されたもので,修正パッチは未公開。対策は,IEのアクティブスクリプトを無効にすることなど。
今回警告されたセキュリティ・ホールは,Windowsに含まれるActiveXコントロール「WebViewFolderIcon(webvw.dll)」に関するもの。このコントロールには整数オーバーフローが見つかっている。このため,細工が施されたWebページやHTMLメールをIE(あるいは,IEのコンポーネントを使うアプリケーション)で開くと,このコントロールで整数オーバーフローが発生し,攻撃者が意図した任意のプログラムを実行される可能性がある。
このセキュリティ・ホール自体は,第三者によって7月に公表されている。公表したのは,セキュリティ・ツール「Metasploit Framework」の開発者であるHD Moore氏。同氏は7月中,Webブラウザに関する未公表のセキュリティ・ホールを毎日1件ずつ公開した(関連記事:「ブラウザのセキュリティ・ホールを毎日1件公開する」と研究者が宣言)。今回のセキュリティ・ホールは,その“取り組み”の一環として公表されたもの。
公表された時点で,このセキュリティ・ホールは任意のプログラムを実行させられる危険なものであることが明らかとなっていた。このためセキュリティ・ベンダーのFrSIRTなどでは7月19日付けで警告情報を公表している。
ただしその時点では,IEを不正終了させるプログラム(Exploit)しか公表されていなかった。それが今回,任意のプログラムを実行させるようなExploitがネット上で公表されたため,US-CERTでは警告情報をリリースした。
マイクロソフトからは,このセキュリティ・ホールに関する情報や修正パッチ(セキュリティ更新プログラム)は公開されていない。このため現時点での回避策は,(1)IE上でActiveXコントロールが実行されないようにアクティブスクリプトの設定を無効にする(あるいは,実行時にダイアログが表示されるように設定する),(2)問題のActiveXコントロール(WebViewFolderIcon)がIEから呼び出されないようにkill bitを設定する---など。
(1)については,IEの「ツール」メニューから「インターネット オプション」を選択して「セキュリティ」タブをクリックし,「セキュリティのレベル」を「高」にする。あるいは,「レベルのカスタマイズ」で表示される「設定」中の「スクリプト」セクションの「アクティブ スクリプト」で「無効にする」(「ダイアログを表示する」)をチェックする。
(2)については,WebViewFolderIconのCLSIDである{844F4806-E8A8-11d2-9652-00C04FC30871}にkill bitを設定する(設定方法については,マイクロソフトの情報を参照のこと)。ただし米SANS Instituteでは,このCLSIDが正しいかどうかは現時点では確認していないので,設定する際には注意してほしいとしている。
そのほか,「HTMLメールをテキスト・メールとして表示させる」「信頼できないリンクはクリックしない」といったセキュリティのセオリーも回避策として有効であるとする。「IE以外のWebブラウザを利用する」ことも回避策になる。
・米US-CERTの情報
・米SANS Instituteの情報
