マイクロソフトは4月10日,Windows OSやInternet Explorer(IE)などに含まれるJavaの実行環境「Microsoft VM」に深刻なセキュリティ・ホールがあることを明らかにした。Microsoft VMのチェック機能に問題があるため,WebページやHTMLメールに仕込まれた悪質なJavaアプレットを実行してしまう恐れがある。対策は「Windows Update」を実施して,修正が施されたMicrosoft VMをインストールすること。IEの設定でJavaを無効にすることでも回避できる。

 セキュリティ・ホールの深刻度は最悪の「緊急」。ほとんどすべてのWindowsユーザーが影響を受けるので,早急に対応する必要がある。

 今回,Microsoft VMの「ByteCode Verifier」にセキュリティ・ホールが見つかった。ByteCode Verifierとは,Javaアプレット(プログラム)を実行前に検証するプロセスのことである。ByteCode Verifierに問題があるため,細工が施された悪質なJavaアプレットを適切にチェックできず,ユーザーのマシン上で実行してしまう恐れがある。

 JavaアプレットはWebページやHTMLメールから呼び出すことができるので,ユーザーがWebページやHTMLメールを閲覧するだけで,悪質なJavaアプレットを実行させられる可能性がある。そのJavaアプレットは,閲覧したユーザーの権限でどのような操作も行えるので,事実上マシンを乗っ取られることになる。

 影響を受けるのは,Microsoft VM ビルド3809以前(3809を含む)をインストールしているWindowsマシン。セキュリティ・ホールが公開される直前の最新版が3809なので,ほとんどすべてのWindowsユーザーが影響を受ける。

 マイクロソフトの情報によると,Microsoft VM は Windows OSやIEの一部として出荷されているほかに,多くのアプリケーションの一部としても出荷されているという。そのため,必ずビルド番号を確認して,影響を受けるかどうか判断してほしいという。

 現在使用しているMicrosoft VMのビルド番号は,「MSJAVA.DLLファイル」のバージョンや「JVIEW コマンド」で調べられる。IE 4.01 SP1 を使用している環境では,MSJAVA.DLLファイルのバージョンから得られるビルド番号が正しい情報である。具体的な調べ方については,マイクロソフトの情報を参照してほしい。

 対策は,セキュリティ・ホールが修正されたMicrosoft VM(ビルド3810)をインストールすること。「Windows Update」からインストールできる(Windows 2000 SP2/SP3用については,同社サイトからダウンロードすることも可能)。

 Windows Updateでは,ビルド3810のMicrosoft VMは「816093 : セキュリティ問題の修正プログラム」として表示される。また,ビルド3810では,過去に公開されたMicrosoft VMのセキュリティ・ホールがすべて修正されている。

【4月16日追記】マイクロソフトは4月16日,同社サイトの「トラブル・メンテナンス速報」において,Windows NT 4.0 ではWindows Updateから修正プログラム(ビルド3810のMicrosoft VM)を適用できないことを明らかにした。この問題について,同社は現在調査中であるという。NTユーザーは,「Windows Update カタログ」を使って修正プログラムをファイルとしてダウンロードしてから適用する必要がある。ただし,NTにはWindows Update カタログの機能がない。このため,Windows 98/Me/2000/XPのマシンを使ってダウンロードしなければならない。なお,NTに適用できるのは,Windows 98/Me/XP用の修正プログラムのみ。Windows 2000用の修正プログラムは適用できないので要注意である。【以上,4月16日追記】

 IEの設定でJavaアプレットを無効に設定することでも,セキュリティ・ホールの影響を回避できる。具体的な設定方法は,マイクロソフトが公開する情報に記載されているので参考にしてほしい。

 Microsoft VMには,深刻なセキュリティ・ホールが過去に何度も見つかっており,今後も見つかる可能性が高い(記事末の関連記事を参照)。また,2004年1月以降はセキュリティに関する修正も施されなくなる(参考資料)。Java機能は無効にしておくことをお勧めする(関連記事)。

 なお,Outlook Express 6やOutlook 2002ではデフォルトで「制限付きゾーン」に設定されているので,設定を変更していなければ,HTMLメールで今回のセキュリティ・ホールを悪用されることはない。Outlook 98とOutlook 2000についても,「Outlook Email Security Update」を適用していれば,「制限付きゾーン」に設定されている。

Proxy ServerとISA Serverにもセキュリティ・ホール

 同日,マイクロソフトは「Proxy Server 2.0」と「Internet Security and Acceleration (ISA) Server 2000」のセキュリティ・ホールも公開した。Proxy Server 2.0あるいはISA Server 2000が稼働するマシンに,細工が施されたパケットを送信されると,CPUリソースを100%消費させられ,正常なサービスを提供できなくなる。つまり,DoS攻撃(サービス拒否攻撃)を許す恐れがある。

 対策は,マイクロソフトが公開するパッチを適用すること。セキュリティ・ホールの深刻度は,上から2番目の「重要(Important)」である。Proxy ServerおよびISA Serverを稼働させているマシンの管理者は対応する必要がある。

◎参考資料
MS03-011「Flaw in Microsoft VM Could Enable System Compromise (816093)」(米Microsoft,英語情報)
「MS03-011: Microsoft VM の問題により,システムが侵害される (816093)」に関する要約情報(マイクロソフト)
「MS03-012: Winsock プロキシ サービスの問題により,サービス拒否が起こる (331066)」に関する要約情報(マイクロソフト)

(勝村 幸博=IT Pro)