マイクロソフトは5月16日,Internet Explorer(IE)5.01/5.5/6 が影響を受ける,6種類の新たなセキュリティ・ホールを公開した。最も深刻なセキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧するだけで,悪意があるスクリプトやプログラムを実行させられる恐れがある。日本語版の修正プログラム(パッチ)が公開されているので,IEユーザーは早急に適用したい。
今回新たに公開されたセキュリティ・ホールは以下の通り。
(1)クロス・サイト・スクリプティング (CSS) により,スクリプトをローカル・コンピュータ・ゾーンで実行される
(2)ローカル・コンピュータ上のファイルを読み取ることができる
(3)Cookie情報が読み取られる
(4)スクリプトや意図しないファイルを実行される
(5)IE のゾーン判定を回避して,スクリプトがイントラネットゾーンまたは信頼されたゾーンで実行される
(5)については2種類のセキュリティ・ホールがあるため,合計6種類のセキュリティ・ホールが公開されたことになる。IEのバージョンによっては,影響を受けないセキュリティ・ホールも中には存在する。しかし,今回公開されたすべてのセキュリティ・ホールを考慮した場合には,いずれのバージョンでも深刻度は「高(Critical)」なので,パッチの適用は不可欠である。
なお,それぞれの深刻度は,(1)から(3)が「高」,(4)が「中」,(5)が「低」とされている。(5)については,攻撃者のWebサイトとユーザー・マシン間でNetBIOSによる通信が可能な場合のみ,セキュリティ・ホールを悪用できるので,リモートから攻撃される可能性は確かに低い。しかし,(4)については「中」とされているものの,深刻なセキュリティ・ホールだと考えるべきである。
米Microsoftの情報によると,(4)のセキュリティ・ホールは過去に公開されたセキュリティ・ホール「MS01-058」の“変種(variant)”である。つまり,セキュリティ・ホールがあるIEで,WebページやHTMLメールを開いた(プレビューした)だけで,指定されたファイルを勝手に実行してしまう恐れがある(関連記事)。セキュリティ・ホールを悪用するウイルス(ワーム)が出現する可能性がある,深刻なセキュリティ・ホールなのだ。
Microsoftの情報を見る限りでは,特定のユーザー環境に対してのみ攻撃が可能なために,「中」とされているようだ。つまり,ある特定のソフトウエアをインストールしているユーザーだけが影響を受けるとしている。しかし,「どういったソフトウエアが影響を受けるのか」や「どの程度のユーザーがそのソフトウエアをインストールしているのか」については明言されていない。自分も影響を受けると考えて,対策を施したい。なお,Microsoftの情報の「Acknowledgments(謝辞)」欄から判断すると,(4)のセキュリティ・ホールは,セキュリティ・ベンダーであるラックの新井悠氏が発見したものと考えられる(関連記事)。
【5月16日IT Pro追記】ラックから5月16日に公開された情報には,影響を受けることが確認された環境が記載されている。加えて,影響を受けるかどうかを検証するためのページ(コンテンツ)が公開されている。
マイクロソフトはセキュリティ・ホール情報と同時に,日本語版のパッチを公開している。用意されているのは,IE 6,IE 5.5 SP1/SP2,IE 5.01 SP1 用のパッチ。ただし,IE 5.01 SP1 用については,Windows 2000 あるいは Windows NT4.0 Service Pack 6a上で動作している場合に限られる。
また,今回公開されたパッチには,同じくIEの累積パッチである「MS02-015」が含まれている。パッチが適用できたかどうかは,IEの「ヘルプ」メニューから確認できる。「ヘルプ」から「バージョン情報」をクリックして表示されるウインドウ中の「更新バージョン」フィールドに,「Q321232」が存在すれば,今回のパッチを適用できている。
◎参考情報
◆MS02-023 に関する情報(要約情報/パッチ,マイクロソフト)
◆15 May 2002 Cumulative Patch for Internet Explorer (Q321232) (英語,米Microsoft)
◆SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically(ラック)
◆2002 年 5月15日 Internet Explorer 用の累積的な修正プログラム (Q321232) (MS02-023) (マイクロソフト)
