マイクロソフトは12月2日,Internet Explorer(IE)の危険なセキュリティ・ホールをふさぐ修正パッチを公開した。今回のセキュリティ・ホールはマイクロソフト以外のベンダーや組織から既に公開されており,それを悪用するウイルスなども出現している(関連記事1,関連記事2)。このため,いつもは毎月第2火曜日(米国時間)に公開しているセキュリティ情報とパッチを,今回“緊急公開”した。WebページやHTMLメールを開くだけで被害を受ける,とても危険なセキュリティ・ホールである。「Windows Update」を実施するなどして,すぐにパッチを適用したい。
今回公開されたセキュリティ・ホールは,10月24日前後にセキュリティ関連のメーリング・リストなどで公開された。その後,11月初めには,マイクロソフト以外のベンダーや米US-CERTなどの組織から警告が出された(関連記事)。
このセキュリティ・ホールは,IEがHTML中の特定のタグを適切に処理できないことが原因である。タグの属性の引数として長い文字列を読み込まされると,IEでバッファ・オーバーフローが発生する。その結果,その文字列に含まれる任意のプログラムなどを実行させられることになる。
つまり,細工が施されたWebページやHTMLメールをIEで読む込むだけで,悪質なプログラム(例えばウイルス)を実行させられることになる。とても危険なセキュリティ・ホールである。実際,11月8日前後から,このセキュリティ・ホールを突くウイルスやWebページなどが出回り始めた(関連記事)。
このため,11月の月例セキュリティ情報の公開日である米国時間11月9日に,このセキュリティ・ホールをふさぐパッチが公開されることが期待されていたが,公開されなかった。そして今回,12月の月例公開日(米国時間12月14日)を待たずに,“緊急”に公開された。毎月1回公開するようになってから,“緊急公開”されたのは,これで3回目(関連記事1。関連記事2)。緊急公開されたのは,いずれも,IEのセキュリティ・ホールをふさぐパッチである。
今までの修正パッチ同様,今回公開されたパッチもWindows Updateやセキュリティ情報ページから適用できる。既に悪用されているセキュリティ・ホールである。すぐに適用したい。パッチが用意されているのは,Windows NT Server 4.0 SP6a,Windows 2000 SP3/SP4,Windows XP SP1,Windows 98/98SE/Me――で稼働するIE 6 SP1。つまり,Windows XP SP2/Server 2003以外ではパッチを適用する必要がある。また,今回の修正パッチは,今までに公開されたIEに関するパッチをすべて含む“累積”パッチである。
なお,マイクロソフトでは11月分の月例セキュリティ情報から,3営業日前にその概要を公開するようにしているが,今回のセキュリティ情報については,事前に告知されなかった(関連記事)。
【12月2日追記】マイクロソフトに問い合わせたところ,今回のパッチで修正されるのは,FRAMEとIFRAMEに関する脆弱性のみだという。これら以外のタグ(要素)に関する脆弱性は修正できないとしている。このため,「今回のパッチを適用しても,(現在見つかっている)IEに関するパッチ未公開のセキュリティ・ホールすべてを修正できるわけではない」(同社広報)という。
とはいえ,パッチ未公開のIEのセキュリティ・ホールを突くウイルス(ワーム)のほとんどは,FRAME/IFRAMEに関する脆弱性を突く。今回のパッチを適用すれば,それらはすべて防げる。「実際に被害が出ているので,FRAME/IFRAMEの脆弱性を修正するパッチをまずは緊急に出した。(実際に大きな被害は報告されていない)他の脆弱性を修正するパッチについては,スケジュール通り(月例の公開日)に公開する予定である」(同社広報)。過信は禁物だが,Windowsユーザーはとにかく今回のパッチを適用すべきである。【以上,12月2日追記】
◎参考資料
◆Internet Explorer 用の累積的なセキュリティ更新プログラム (889293) (MS04-040)
◆マイクロソフト セキュリティ情報 (MS04-040) : よく寄せられる質問
◆Microsoft Security Bulletin Advance Notification
(勝村 幸博=IT Pro)
