マイクロソフトは3月20日,Windows OSに含まれるコンポーネントの一つに深刻なセキュリティ・ホールがあることを警告した。細工が施されたWebページやHTMLメールを閲覧するだけで,攻撃者が仕込んだプログラムを実行させられる恐れがある。すべてのWindows OS(98/98SE/Me/NT 4.0/NT 4.0 TSE/2000/XP)が影響を受ける。対策はパッチを適用すること。Windows NT 4.0 TSE用以外は「Windows Update」から適用できるので,すべてのWindowsユーザーはWindows Updateを実施して対応したい。また,Internet Explorer(IE)の設定でアクティブ スクリプトを無効にしていれば影響を受けることはない。セキュリティ・ホールの深刻度は最悪の「緊急」。

 今回,Windows OSに含まれる「Windows スクリプト エンジン」コンポーネントにセキュリティ・ホールが見つかった。具体的には,JScriptを処理するWindowsスクリプト エンジンのコンポーネント「JScript.dll」に,バッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,WebページやHTMLメールに記述された,細工が施されたJScriptを読み込むと,バッファ・オーバーフローが発生して,JScriptに仕込まれた任意のプログラムを実行させられる恐れがある。

 対策はパッチを適用すること。現在サポート対象となっているすべてのWindows OSが影響を受けるので,すべてのユーザーが対応したい。サポート対象外のWindows 95などについては,影響を受けるかどうか分からないとしている。

 パッチは同社のサイトからダウンロードできるとともに,Windows NT 4.0 TSE用以外については「Windows Update」から適用できる。Windows Updateを実施すると(Windows Updateサイトにアクセスすると),今回のパッチは「814078 : セキュリティ問題の修正プログラム (Microsoft Jscript Version 5.6,Windows 2000,Windows XP)」として表示される(Windows 2000/XPの場合)。

 IEのセキュリティ設定でアクティブ スクリプトを無効にすることでも影響を回避できるが,米Microsoftではパッチを適用することを強く勧めている。加えて,今回のセキュリティ・ホールはIEではなくWindows OSのコンポーネントに関するものなので,IEを使用していない場合でもパッチを適用するよう勧めている。

 マイクロソフトは同日,Internet Security & Acceleration Server(ISA Server)2000に関するセキュリティ・ホールも公開した。攻撃者にDoS攻撃を許す恐れがある。深刻度は下から2番目の「警告」(Moderate)であるが,同製品のユーザーは詳細を確認した上で対応したい。

◎参考資料
「MS03-008: Windows スクリプト エンジンの問題により,コードが実行される (814078)」に関する要約情報
Microsoft Security Bulletin MS03-008 Flaw in Windows Script Engine Could Allow Code Execution (814078)
What You Should Know About Microsoft Security Bulletin MS03-008
「MS03-009: ISA Server DNS アタック検出フィルタの問題により,サービス拒否が起こる (331065)」に関する要約情報
Windows スクリプト エンジンの問題により,コ ードが実行される (814078) (MS03-008)
ISA Server DNS アタック検出フィルタの問題 により,サービス拒否が起こる (331065) (MS03-009)

(勝村 幸博=IT Pro)