米Microsoftは米国時間2月21日,Internet Explorer(IE)などに,外部からパソコン内のファイルを読み取られる2種類のセキュリティ・ホールを公開した。一つは,IE 6とWindows XP,SQL Server 2000 が対象。日本語版パッチは未公開なので,IEの設定を変更して対処する。もう一つはIE 5.01/5.5/6 が対象。マイクロソフトのページに日本語版用パッチが公開されている。いずれも「深刻度」は「高(Critical)」。なお,ファイルを削除されたり,内容を変更されたりすることはない。

 一つ目のセキュリティ・ホールは,「MS02-008:XMLHTTP Control Can Allow Access to Local Files」。マイクロソフトも日本語の要約情報を公開している。 特定のスクリプトが仕掛けられたWebページを閲覧した場合,パソコン内の任意のファイルを読み取られる恐れがある。HTMLメール経由では,このセキュリティ・ホールを悪用されることはない。

 原因は,XML文書を処理する「Microsoft XML Core Services(MSXML)」に含まれる,「XMLHTTP」ActiveXコントロールの不具合。Webサーバーから同コントロールへ送られた,本来は拒否すべきリクエストに応えて,ファイル内容を送信してしまう場合がある。

 ファイルの内容を読み取るには,そのファイルが置かれている場所(パス)を知っている必要がある。しかし,ファイルの多くはデフォルトの場所に置かれたままなので,これにより脅威が軽減することは少ない。

 日本語版パッチは現在準備中なので,IE の設定を変更して対処する必要がある。具体的には,IEの「インターネット ゾーン」の「セキュリティの設定」において,「スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行」を「無効にする」にする(詳細は,マイクロソフトのページを参照)。

 もう一つは,「MS02-009:Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files」。原因は,VBScriptの取り扱いに不具合があること。特定のスクリプトが仕込まれたWebページやHTMLメールを閲覧した場合,パソコン内のファイルや,別のWebページに入力した情報などを読み取られる恐れがある。

 マイクロソフトが公開している要約情報のページに,IE 5.01/5.5/6 用のパッチが用意されているので,IEユーザーは適用しよう。「Windows Update」にも,「Security Update, February 14, 2002」として用意されているものの,「MS02-008」対策のためにIEの設定を変更すると,Windows Updateは使用できなくなる。

◎参考資料
MS02-008 に関する情報(要約情報,マイクロソフト)
MS02-009 に関する情報(要約情報,マイクロソフト)
◆(MS02-008)XMLHTTP Control Can Allow Access to Local Files(英語,米Microsoft)
◆(MS02-009)Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files(英語,米Microsoft)

(勝村 幸博=IT Pro)