マイクロソフトは2月27日,Windows Meに深刻なセキュリティ・ホールがあることを明らかにした。細工が施されたWebページやHTMLメールを閲覧すると,ウイルスなどの悪意があるプログラムを実行させられる恐れがある。対策は「Windows Update」を実行してパッチを適用すること。セキュリティ・ホールの深刻度は最悪の「緊急」なので,早急に適用したい。なお,Windows Me以外のWindows OSは影響を受けない。

 今回明らかになったのは,Windows Meの「ヘルプとサポート」機能に関するセキュリティ・ホールである。「ヘルプとサポート」機能のURLハンドラ(hcp://)に未チェックのバッファが存在する。このため,「hcp://」で始まる,ある特定のURLリンクをWindows Meで開こうとすると,バッファ・オーバーフローが発生し,リンクに仕込まれた任意のプログラム(コード)を実行させられる恐れがある。

 URLハンドラとは,あるアプリケーションをWebページなどから起動できるようにする機能のこと。例えば,Outlook 2002をシステムにインストールすると,Outlook 2002はURLハンドラ「outlook://」として登録される。このURLハンドラを使えば,リンクをクリックすることでOutlook 2002を起動できる。

 今回問題となった「hcp://」は,「ヘルプとサポート」機能のURLハンドラである。「特定のURLを開こうとするとバッファ・オーバーフローが発生する」というと,Internet Explorer(IE)のセキュリティ・ホールであるように思われるがそうではない。

 「ヘルプとサポート」機能がURLハンドラから呼び出されるときに,渡される引数(「hcp://」以下の部分)をチェックしないために,引数によっては「ヘルプとサポート」機能がバッファ・オーバーフローを引き起こすものと考えられる。つまり,IEではなく,Windows Meの「ヘルプとサポート」機能にセキュリティ・ホールが存在するのである。

 このため,セキュリティ・ホールがあるWindows Meで,“細工”が施された「hcp://」で始まるリンクを含むWebページやHTMLメールを閲覧すると,攻撃者が仕込んだプログラムを実行させられる恐れがある。

 デフォルト設定のOutlook Express 6,Outlook 2002,「Outlook 電子メール セキュリティ・アップデート」を適用した Outlook 98 や Outlook 2000 を使用している場合には,メールを開くだけで今回のセキュリティ・ホールを悪用した攻撃を受けることはない。ただし,メール中のリンクをクリックしてしまった場合には被害を受ける。

 マイクロソフトは,今回のセキュリティ・ホールの深刻度を最悪の「緊急」に設定しているので,Windows Meユーザーは早急に修正パッチを適用する必要がある。パッチは「Windows Update」から適用できる。「Windows Update」サイトにアクセスすると,今回のパッチは「812709 : セキュリティ問題の修正プログラム (Windows Me) - (投稿した日付: February 25, 2003) 」として表示されるという。

◎参考資料
MS03-006 に関する情報(要約情報)
MS03-006 Flaw in Windows Me Help and Support Center Could Enable Code Execution (812709)(英語情報)
What You Should Know About Microsoft Security Bulletin MS03-006(英語情報)
Windows Me の「ヘルプとサポート」の問題によりコードが実行される (812709) (MS03-006)

(勝村 幸博=IT Pro)