マイクロソフトは4月24日,Internet Explorer(IE)とOutlook Expressに,それぞれ深刻なセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページやHTMLメールを閲覧すると,ユーザーのマシン上で任意のコードを実行させられる恐れがある。対策はパッチを適用すること。「Windows Update」から適用できる。深刻度はいずれも最悪の「緊急」なので,早急に対応したい。なお,いずれのパッチも,過去のパッチを含む“集積”パッチである。
IEには4種類のセキュリティ・ホール
今回公開されたIEのセキュリティ・ホールは以下の4種類。
(1)Webサーバーと通信する「URLMON.DLL」のバッファ・オーバーフロー
(2)ファイル・アップロード・コントロールのぜい弱性
(3)サード・パーティのファイルのレンダリングに関するぜい弱性
(4)モーダル・ダイアログを処理する方法に存在するぜい弱性
(1)を悪用するWebページにユーザーがアクセスすると,IEのコンポーネントの一つであるURLMON.DLLにバッファ・オーバーフローを引き起こされ,任意のコード(プログラム)を実行させられる恐れがある。(2)および(4)を悪用するページへアクセスすると,ユーザー・マシン内のファイルを読み取られる(アップロードさせられる)恐れがある。
(3)を悪用するページへアクセスすると,任意のスクリプトを実行させられる恐れがある。このとき,たとえそのページのWebサイトが「インターネット ゾーン」であっても,最も制限が緩い「ローカル コンピュータ ゾーン」でスクリプトは実行されてしまう。なお,いずれのセキュリティ・ホールも,HTMLメールを使って悪用される場合もある。
それぞれの深刻度は(1)(3)(4)が最悪の「緊急」,(2)は上から2番目の「重要」である(ただし,米Microsoftの情報では上から3番目(下から2番目)の「Moderate」に設定されている)。
影響を受けるのは,IE 5.01 SP3(Windows 2000版)/IE 5.5/IE 6/IE 6 SP1。ただし,これら以外のバージョンについては,サポート対象外なのでセキュリティ・ホールが存在するかどうか分からないとしている。
対策はパッチの適用。同社サイトからダウンロードできるとともに,Windows Updateからも適用できる。IE 5.01 SP3用パッチはWindows 2000の,IE 6用パッチはWindows XPのマシンにしか適用できないので注意が必要。なお,今回公開されたパッチは,今までに公開されたIEのパッチを含む集積パッチである。
Outlook ExpressのMHTMLハンドラにホール
Outlook Expressに見つかったセキュリティ・ホールは,「MHTMLのURLハンドラ」に関するもの。WebページやHTMLメールに書かれた,ある特定のリンクをクリックすると,悪質なスクリプトを「ローカル コンピュータ ゾーン」で実行させられる恐れがある。
MHTMLとは,画像などが張り込まれたHTMLコンテンツ(Webページ)を一つのファイルとして扱うためのフォーマットである。MHTMLを使えば,複数の画像などを含むWebページ全体を一通のHTMLメールとして送信することができる。
URLハンドラとは,あるアプリケーションをWebページなどから起動できるようにする機能のこと。例えば,Outlook 2002をシステムにインストールすると,Outlook 2002は URLハンドラ「outlook://」として登録される。このURLハンドラを使えば,リンクをクリックすることでOutlook 2002を起動できる。今回問題となったURLハンドラは「MHTML://」であり,Outlook Expressが処理する。
「MHTML://」で指定したファイルは,そのファイル形式にかかわらず,HTMLファイルとして処理(レンダリング)される。これが今回問題となった。例えば,スクリプトが記述されたテキスト・ファイル(.txt)をMHTML://で指定すると,そのスクリプトが実行されてしまう。しかも,「MHTML://」のリンクが書かれているWebページが「インターネット ゾーン」であっても,最も制限が緩い「ローカル コンピュータ ゾーン」でスクリプトは実行されてしまう。
ただし,今回のセキュリティ・ホールを悪用して可能なことは,ユーザー・マシンに既に存在するスクリプト・ファイルを起動することだけである。過去に公開された「MS03-004」のパッチ(および,これを含む「MS03-015」のパッチ)を適用している場合には,任意のスクリプト・ファイルを送り込まれて実行させられる恐れはない。
セキュリティ・ホールが確認されているのは,Outlook Express 5.5 および 6.0/6.0 SP1。ただし,これらよりも古いバージョンについては検証されていない。
対策はパッチを適用すること。Windows Updateから適用できる。同社サイトからダウンロードすることもできる。なお,Outlook Express 6.0用のパッチは,Windows XP(SP1を適用していない環境)にしか適用できない。また,今回のパッチには,過去に公開された「MS02-058 : Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される (Q328676) 」が含まれる。
パッチを適用すれば,MHTMLフォーマットに関係する「.MHT」あるいは「.MHTML」以外のファイルは,「MHTML://」で呼び出せなくなる。
なお,Outlook Expressをメール・ソフトとして使用していなくても,マシンにインストールされていれば,今回のセキュリティ・ホールの影響を受ける。
◎参考資料
◆「MS03-014: Outlook Express 用の累積的な修正プログラム (330994) 」に関する要約情報
◆「MS03-015: Internet Explorer 用の累積的な修正プログラム (813489) 」に関する要約情報
◆MS03-015:Cumulative Patch for Internet Explorer (813489)
◆MS03-014:Cumulative Patch for Outlook Express (330994)
(勝村 幸博=IT Pro)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
