米Microsoftは米国時間3月28日,Internet Explorer(IE)に見つかった2種類のセキュリティ・ホール情報とそのパッチを公開した。セキュリティ・ホールを悪用されると,Cookie中に仕込まれたスクリプトや,ユーザー・マシン内のプログラムを実行させられる恐れがある。2種類のホールを合わせた深刻度は「高(Critical)」。日本語版パッチも公開されているので,IE 5.01/5.5/6.0 ユーザーは適用しよう。ただし,今回のパッチでもふさげないセキュリティ・ホールは依然存在する。それらについては,今まで同様,設定変更などで対処していく必要がある。

 今回Microsoftが公開したセキュリティ・ホールは2種類。一つはCookieに仕込まれたスクリプトに関するもの。Cookie中のスクリプトがユーザー・マシンで実行される場合,そのCookieを送ったWebサイトのゾーン(通常はインターネット・ゾーン)のセキュリティ設定で実行されるべきである。

 しかし実際には,通常のプログラム(スクリプト)と同じゾーン(ローカル・コンピュータ・ゾーン)で実行されてしまう。つまり,IEの設定をいくら厳しくしていても,スクリプトが実行されてしまう。

 悪意があるサイト管理者は,スクリプトを仕込んだCookieをユーザーに送りつけ,その後Webページ上に記載したスクリプトで,Cookie中のスクリプトを実行することで,このセキュリティ・ホールを悪用できる。このセキュリティ・ホールの影響を受けるのは,IE 5.5と6。深刻度は「高(Critical)」である。

 もう一つは,Objectタグの取り扱いに関するセキュリティ・ホールである。このセキュリティ・ホールを悪用すれば,ユーザー・マシン内の任意のプログラムを実行させることが可能となる。

 ただし,攻撃者は実行させたいプログラムの正確な場所(パス)と名前を知っている必要がある。また,プログラムに引数(パラメータ)を渡すことはできない。Microsoftの情報によると,デフォルトのWindowsシステムには,引数なしでマシンを乗っ取れるようなプログラムは存在しないという。

 このセキュリティ・ホールの影響を受けるのは,IE 5.01/5.5/6。深刻度は「中(Moderate)」。

 対策は,Microsoftが公開するパッチを適用すること。日本語版のパッチも公開されている。ダウンロード用のページは英語だが,「Select Language」で「Japanese」を選択すれば入手できる。

 パッチの適用条件は,IE 5.5 の場合は SP1あるいはSP2を適用済みであること。IE 5.01の場合は,SP2を適用済みであることと,プラットフォームがWindows 2000かNTであること。また,今回のパッチは過去のIEの累積パッチである「MS02-005」を含んでいる。

 ただし,今回のパッチを適用しても,ふさげないセキュリティ・ホールは依然存在する。公開されたセキュリティ・ホールの内容や,レポート中の「Acknowledgments(謝辞)」から判断すると,Microsoft以外から既に公開されているセキュリティ・ホールのいくつかはふさげないようだ。そのため,セキュアな設定を元に戻すことなく,今まで同様IEユーザーは注意する必要がある(関連記事)。

◎参考文献
(MS02-015)28 March 2002 Cumulative Patch for Internet Explorer(米Microsoft,英語)
MS02-015 に関する情報(マイクロソフト,要約情報)
Security Update, March 28, 2002(米Microsoft,英語)
2002年3月28日 Internet Explorer 用の累積的な修正プ ログラム (MS02-015)(マイクロソフト)

(勝村 幸博=IT Pro編集)