マイクロソフトは9月19日,Windows OSやInternet Explorer(IE)などに含まれるJavaの実行環境「Microsoft Virtual Machine for Internet Explorer(Microsoft VM)」に3種類のセキュリティ・ホールがあることを明らかにした。最大深刻度は「高」。最も深刻なセキュリティ・ホールを悪用されると,攻撃者にマシンを乗っ取られる恐れがある。対策はパッチの適用や設定の変更。「Windows Update」を実行すればパッチを適用できる。IEの設定でJavaを無効にすることでも回避できる。
今回明らかにされたMicrosoft VMのセキュリティ・ホールは以下の3種類。
(1)JDBCクラスに不正なパラメータを渡されると,IEが異常終了するセキュリティ・ホール
(2)JDBCクラスに不正なパラメータを渡されると,任意のDLLを実行されるセキュリティ・ホール
(3)悪意のあるアプレットにより,任意のコードを実行されるセキュリティ・ホール
これらのセキュリティ・ホールを悪用するように細工が施されたWebページやHTMLメールを閲覧すると,IEが異常終了したり,任意のプログラムを実行されたりする恐れがある。任意のプログラムを実行された場合には,事実上攻撃者にマシンを乗っ取られることになる。マイクロソフトの情報ではいずれも最大深刻度は「高」とされているが(9月19日15時現在),米Microsoftでは,(1)が「低」,(2)と(3)は「高」としている。
対策はパッチを適用すること。Windows Updateを実行すれば適用できる。ただし,今回公開されているのはMicrosoft VM ビルド3805用のパッチなので,3805よりも古いビルドを使用している場合には,まず3805をインストールしてからパッチを適用する必要がある。ビルド3805もWindows Updateからインストールできる。Windows Update の「重要な更新と Service Pack」 の「セキュリティ問題の修正プログラム - 2002年3月4 日 - (投稿した日付: July 10, 2002)」 を選択すればインストール可能だ。
なお,Microsoft VMのビルドは,「JVIEW」コマンドやMSJAVA.DLLファイルのバージョンから確認できる(詳細はマイクロソフトの情報を参照のこと)。
今回のセキュリティ・ホールは,IEでJavaを無効にすることでも回避できる。具体的な方法はマイクロソフトの情報に詳しい。なお,Outlook Express 6やOutlook 2002ではデフォルトで「制限付きゾーン」に設定されているので,設定を変更していなければ,HTMLメールで今回のセキュリティ・ホールを悪用されることはない。
Microsoft VMには以前も複数のセキュリティ・ホールが見つかっているので,できるだけ無効にしておきたい(関連記事)。ただし,Javaを無効にしていても,念のために今回のパッチを適用することをお勧めする。
◎参考資料
◆MS02-052 に関する情報(マイクロソフト,要約情報)
◆MS02-052 Flaw in Microsoft VM JDBC Classes Could Allow Code Execution (Q329077)(米Microsoft)
◆Microsoft VM JDBC クラスの問題により、コードが実行される (Q329077) (MS02-052)(マイクロソフト)
(勝村 幸博=IT Pro)
