デンマークのSecuniaなどは8月19日,Internet Explorer(IE)に見つかった新たなセキュリティ・ホールを公表した。細工が施されたWebサイト上でユーザーがマウス操作をすると,インターネット上の任意のファイル(例えば,ウイルス)をパソコンにダウンロードさせられる。このとき,ダイアログなどは一切表示されない。パッチは未公開。対策はアクティブスクリプトを無効にすることなど。
セキュリティ・ホールを発見したのは「http-equiv」氏。同氏がセキュリティ関連のメーリング・リストに投稿した内容を,Secuniaが検証して同社サイトで公表した。
今回のセキュリティ・ホールは,IEがドラッグ・アンド・ドロップなどの操作で発生するDHTML(ダイナミックHTML)のイベントをきちんと検証しないことが原因。このため,細工が施されたWebサイト上で,ドラッグ・アンド・ドロップやクリックといったマウス操作をすると,ユーザーに警告することなく,任意のファイルがパソコンにダウンロードされる。このとき,ダウンロード先は攻撃者が指定できるので,スタートアップ・フォルダにダウンロードさせることも可能である。
写真はhttp-equiv氏が公開するデモ・サイト(写真の拡大表示)。Webページの上の画像をドラッグ・アンド・ドロップすると,サイトに置かれた“無害”の実行形式ファイルがスタートアップ・フォルダに警告なしにダウンロードされる。パソコンを再起動すると,このファイルは自動的に実行される。なお,このデモではドラッグ・アンド・ドロップしないとダウンロードされないが,今回のセキュリティ・ホールを突けば,シングル・クリックでダウンロードさせることも可能である。
今回のセキュリティ・ホールは,マイクロソフトが2003年11月に公開した「Internet Explorer 用の累積的なセキュリティ更新(824145)(MS03-048)」に含まれる「ドラッグ・アンド・ドロップの操作のぜい弱性」の“変種”といえる。ユーザーが被害を受けるシナリオや,影響の大きさは同じである。
ユーザーが何らかのアクションをとらない限り,ファイルがダウンロードされることはない。とはいえ,「リンクをクリックする」といったアクションでもダウンロードさせられる可能性があるので,とても危険なセキュリティ・ホールである。なお,マイクロソフトでは,「ドラッグ・アンド・ドロップの操作のぜい弱性」の最大深刻度を上から2番目の「重要」に設定している。
米Microsoftからはセキュリティ情報やパッチなどは公開されていない。Secuniaでは,アクティブスクリプトを無効にすることや,別のブラウザを使うことを対策として挙げている。セキュリティ対策のセオリーである「怪しいWebページに近寄らない」ことも重要だ。
◎参考資料
◆Microsoft Internet Explorer Drag and Drop Vulnerability(Secunia)
◆Microsoft Internet Explorer Multiple Vulnerabilities(Secunia)
◆Internet Explorer 用の累積的なセキュリティ更新(824145)(MS03-048)(マイクロソフト)
◆セキュリティ情報 (MS03-048) : よく寄せられる質問(マイクロソフト)
◆CAN-2003-0823 (under review)(Community Vocational Enterprises)
(勝村 幸博=IT Pro)
