マイクロソフトは2月6日,Internet Explorer(IE)の新たなセキュリティ・ホールとそのパッチを公開した。セキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,ウイルスなどの悪意があるプログラムを送り込まれて実行させられる恐れがある。対策は「Windows Update」などを利用してパッチを適用すること。最大深刻度は「緊急(Critical)」なので,Windowsユーザーは早急にパッチを適用する必要がある。
今回公開されたセキュリティ・ホールは2種類で,いずれも「クロスドメインのぜい弱性」と呼ばれるものである。
ブラウザ上に異なるサイトのページ(ウインドウ)を表示している場合,それぞれは異なる“ドメイン”として認識され,片方のページからもう片方のページが表示している情報にアクセスすることはできない。
同様に,ユーザーのローカル・ファイル・システム(ユーザーが使用しているパソコンのシステム)もドメインが異なるために,ブラウザで表示させているページが,ローカル・ファイル・システムの情報にアクセスすることはできない。
これに対して,ブラウザ上に同じサイトの異なるページを表示させている場合には,同じドメインとして認識され,片方のページからもう片方のページの情報を操作できる。
クロスドメインのぜい弱性は,本来は異なるドメインであっても,同じドメインだと認識してしまって,異なるドメインの情報へのアクセスを許してしまうセキュリティ・ホールである。このため,細工が施されたWebページにアクセスしたり,細工が施されたWebページへリンクを張ったHTMLメールを開いたりすると,そのページ(サイト)から,ユーザーのローカル・ファイル・システムの情報にアクセスされてしまう。
その結果,ユーザー・パソコン内のファイルを読み取られたり,実行されたりしてしまう。加えて,任意のプログラムを送り込まれて,そのプログラムを実行される恐れもある。
今回のセキュリティ・ホールの影響を受けるのは,IE 5.01/5.5/6.0。IE 5.0以前についてはサポート外なので,影響を受けるかどうか分からないとしている。
対策はパッチを適用すること。IE 5.01についてはSP3を適用済み,IE 5.5についてはSP2を適用済みであることが,パッチの適用条件である。ただし IE 5.01については,Windows 2000 SP3で利用している場合に限られる。IE 6については,SP1を適用している場合と適用していない場合でパッチが異なる。いずれのパッチも「Windows Update」から適用できる。
なお今回公開されたパッチは,今までに公開されたIE関連のパッチを含む“累積”パッチである。
また,デフォルト設定のOutlook Express 6,Outlook 2002,「Outlook 電子メール セ キュリティ・アップデート」を適用した Outlook 98 や Outlook 2000 を使用している場合には,メールを開くだけで今回のセキュリティ・ホールを悪用した攻撃を受けることはない。ただし,これらのメール・ソフトを使用していても,今回のパッチを適用しておらず,かつメール中のリンクをクリックしてしまった場合には被害を受ける。
◎参考資料
◆「MS03-004: Internet Explorer 用の累積的な修正プログラム (810847) 」に関する要約情報
◆Microsoft Security Bulletin MS03-004(英語情報)
◆What You Should Know About Microsoft Security Bulletin MS03-004(英語情報)
◆Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)
(勝村 幸博=IT Pro)
