マイクロソフトは10月11日,Outlook Express 5.5/6に深刻なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたメールを読むあるいはプレビュすると,ユーザー・マシン上で任意のコード(プログラム)を実行させられる恐れがある。最大深刻度は「高」。対策はパッチを適用すること。今回のパッチは Windows XP Service Pack(SP)1 と Internet Explorer(IE)6 SP1 にも含まれている。
Outlook Express の S/MIME サポート機能[用語解説]の一部にバッファ・オーバーフローのセキュリティ・ホールが見つかった。ある細工が施された S/MIME 署名メールを Outlook Express で読むあるいはプレビュすると,バッファ・オーバーフローが発生する。その結果,Outlook Express を落とされたり,そのメールに仕込まれた任意のコードを実行させられたりする。
Outlook Express が落とされた場合には,Outlook Express を再起動してそのメールを削除すれば元の状態に戻るが,コードが仕込まれている場合には Outlook Express を操作しているユーザーの権限でそのコードの実行を許す恐れがある。Administrator権限で実行している場合には,事実上そのマシンを乗っ取られてしまう。
対策はパッチを適用すること。ただし米Microsoftの情報によれば,今回のパッチは Windows XP SP1 と IE6 SP1 にも含まれているという。このため,いずれかを適用済みのユーザーは今回のパッチを適用する必要はない。IE 6 SP1 を適用すれば,Outlook Express で HTMLメールを表示しないことも可能になるので,ぜひ適用しておきたい(関連記事)。
【10月12日追記】マイクロソフトが10月11日に新たに公開した情報には,パッチ適用に関する情報が追加された。まず,Outlook Express 5.5 用パッチの適用条件は IE 5.5 SP2を適用済みであることが追加されている。さらに,今回のパッチを適用後, XP SP1 をインストールおよびアンインストールすると,XP SP1だけではなく,今回のパッチも同時にアンイストールされてしまうことが「警告」の欄に追記されている。この場合には今回のパッチを改めてインストールする必要がある。また,パッチがきちんとインストールできたかどうかを確認する方法などについても追記されているので,改めて確認したい。
なお,Outlook は影響を受けない。また,影響を受けるのは Outlook Express 5.5 および 6 とされているが,5.5 より古いバージョンについては検証されていない。このため,影響を受けるかどうかは不明としている。5.5 よりも古いバージョンのユーザーはバージョンアップした上で,パッチやサービス・パックを適用しよう。
◆「MS02-058: Outlook Express の S/MIME 解析の未チェックのバッファに よりシステムが侵害される(Q328676)」に関する要約情報(マイクロソフト,要約情報とパッチ情報)
◆Microsoft Security Bulletin MS02- 058「Unchecked Buffer in Outlook Express S/MIME Parsing Could Enable System Compromise (Q328676)」(米Microsoft,英語情報)
◆Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される(Q328676) (MS02-058)
(勝村 幸博=IT Pro)
