マイクロソフトは12月13日,Internet Explorer(IE)6 のセキュリティ・ホール情報を公開した。ある細工が施されたWebページを閲覧すると,実行可能なファイルを勝手にダウンロードして,実行してしまう恐れがある。HTMLメールの処理にIEを使うメール・ソフト(OutlookやOutlook Expressなど)を利用している場合には,HTMLメールの閲覧でも同様の影響を受ける。
また,上記のセキュリティ・ホールに併せて,IE 5.5 および6が影響を受ける,2種類のセキュリティ・ホール情報についても公開した。以上3種類のセキュリティ・ホールをふさぐ累積的なパッチが公開されているので,同パッチを適用して対策を施す必要がある。
今回公開されたセキュリティ・ホールは3種類。(1)ファイルを勝手に実行してしまうセキュリティ・ホール,(2)ユーザー・マシン内のファイルを読みとられるセキュリティ・ホール,(3)「ファイルのダウンロード」ダイアログ・ボックスに表示されるファイル名を改変できてしまうセキュリティ・ホール---である。(1)については IE 6 だけが影響を受け,(2)と(3)については,IE 5.5 および 6 が影響を受ける。
(1)については,「深刻度」が「高」に設定されている,非常に危険なセキュリティ・ホールである。本来,IE が実行可能なファイルを開く(ダウンロードして実行する)際には,ダイアログ・ボックスを表示して,ユーザーに確認する仕様になっている。ところが,HTMLファイルにある細工を施されると,実際には実行可能なファイルであっても,ユーザーに確認することなく開いてもよいファイルだと誤認してしまう。その結果,ユーザーがWebページやHTMLメールを閲覧しただけで,指定されたファイルが実行されることになる。
(2)と(3)の深刻度は「中」。(2)は過去に公開された「(MS01-015)Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう」の“変種”である。このセキュリティ・ホールを突くことで,Webサイトの管理者は,訪れたIEユーザーのマシン内にあるファイルを読みとることが可能となる。
(3)は「ファイルのダウンロード」ダイアログ・ボックスに関するセキュリティ・ホールである。Webサイトからファイルをダウンロードしようとすると,「ファイルのダウンロード」ダイアログ・ボックスが表示される。その際,ダイアログに表示されるファイル名を,実際にダウンロードされるファイルの名前とは別の名前にすることができてしまう。つまり,ユーザーをだましてダウンロードさせることが可能となる。
米Microsoftは,上記3種類のセキュリティ・ホールをすべてふさぐパッチを公開している。ダウンロードのページは英語であるが,「Select Language」から「Japanese」を選択すれば,日本語版をダウンロードできる。なお,IE 5.5 の場合には,パッチ適用前に,IE 5.5 SP(Service Pack)2 を適用しておく必要がある。
◎参考資料
◆(MS01-058)2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム(マイクロソフト)
◆(MS01-015)Internet Explorer がキャッシュされたコンテンツの場所を漏えいしてしまう(マイクロソフト)
◆Security Update, December 13, 2001(米Microsoft)
