マイクロソフトは11月12日,Internet Explorer(IE)に見つかった5つのセキュリティ・ホールを公開した。IEのすべてのバージョン(5.01/5.5/6)が影響を受ける。最大深刻度は最悪の「緊急」。最も危険なセキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行される恐れがある。対策はパッチを適用すること。「Windows Update」やセキュリティ情報のページから適用できる。なお,今回公開されたパッチは,過去に公開されたIEのパッチをすべて含む“累積パッチ”である。
今回公開されたセキュリティ・ホールは以下の5種類。
(1)ExecCommand のクロス・ドメインのぜい弱性
(2)関数ポインタ上書きのクロス・ドメインのぜい弱性
(3)スクリプト URL のクロス・ドメインのぜい弱性
(4)XML オブジェクトのぜい弱性
(5)ドラッグ・アンド・ドロップの操作のぜい弱性
これらのうち,(1)から(3)までの「クロス・ドメインのぜい弱性」について,IE 5.01/5.5/6 における深刻度は最悪の「緊急」である。WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行させられる恐れがある。なお,IE 6 SP1 for Windows Server 2003については,初期設定のままでは影響を受けないので,深刻度は下から2番目(上から3番目)の「警告」に設定されている。
「クロス・ドメインのぜい弱性」を検証するためのプログラム(Exploit)は,今回のマイクロソフトの公表に先駆けて,セキュリティ関連のメーリング・リストなどで既に公開されている。そのプログラムを含むHTMLファイルを,今回公開されたパッチを適用する前のIEで読む込むと,マシン中のメモ帳(Notepad.exe)が無害の別のファイルに置き換えられる。この際,ユーザーに対して警告などは一切表示されない。これを“応用”すれば,ウイルスなどをユーザーに送り込み,実行させることが可能となる。そのようなプログラムが出回る前に,早急に対策を施す必要がある。
(4)「XML オブジェクトのぜい弱性」を悪用されれば,WebページやHTMLメールを閲覧しただけで,パソコン内のファイルを読み取られる恐れがある。(5)「ドラッグ・アンド・ドロップの操作のぜい弱性」を悪用されれば,WebページやHTMLメール中のリンクをクリックしただけで,任意のプログラムをパソコンに保存させられる恐れがある。この際,IEは警告を表示しない。
ただし,(4)ではファイルを読み取られるだけである。また,読み取られる前には警告(ダイアログ)が表示される。その際ユーザーが「いいえ」を選択すれば被害に遭わない。また,(5)ではプログラムを保存させられるだけで,実行させられることはない。このため,(1)から(3)までに比較すれば,(4)と(5)の危険度は低い。
実際,(4)の深刻度は,IE 5.5/6では下から2番目の「警告」,IE 6 SP1 for Windows Server 2003では一番下(上から4番目)の「注意」に設定されている。IE 5.01は影響を受けない。(5)の深刻度は,IE 5.01/5.5/6では上から2番目の「重要」,IE 6 SP1 for Windows Server 2003では「警告」に設定されている。
対策はパッチを適用すること。Windows Updateから適用できるとともに,セキュリティ情報のページからも入手できる。パッチの適用対象は,IE 6,IE6 SP1,IE6 SP1 for Windows Server 2003,IE 5.5 SP2,IE 5.01 SP2/SP3/SP4。なお,今回のパッチには,過去に公開されたIEに関するパッチがすべて含まれている。
過去に公開されたIEの累積パッチ同様,今回のパッチを適用すると,HTMLヘルプ機能のいくつかを使用できなくなる。「マイクロソフト サポート技術情報 811630」に記載されているように,Windows Updateから「811630 : 重要な更新」を適用すれば,パッチ適用後も HTMLヘルプ機能を使用できる。
(1)から(3)の「クロス・ドメインの脆弱性」については,Windowsに含まれるActiveXコントロール「ADODB.Stream」が原因である。このため,パッチをすぐに適用できない環境では,ADODB.Stream に「Kill Bit」を設定して,ADODB.Stream を無効にすることが回避策の一つになる。詳細については,セキュリティ情報や「サポート技術情報 240797 Internet Explorer で ActiveX コントロールの動作を停止する方法」を参照してほしい。
◎参考文献
◆Internet Explorer 用の累積的なセキュリティ更新 (824145) (MS03-048)
◆2003 年 11 月のセキュリティ情報 (Windows)
(勝村 幸博=IT Pro)
