デンマークSecuniaなどは現地時間12月16日,Internet Explorer(IE)6にクロスサイト・スクリプティング攻撃を許すぜい弱性が見つかったことを公表した。細工が施されたページにアクセスすると,アドレス・バーなどを偽装されたり,Cookieを盗まれたりする恐れがある。Windows XP SP2も影響を受ける。修正パッチは未公開。対策は,IEのセキュリティ設定を「高」にすることなど。

 今回公表されたセキュリティ・ホールは,IEが利用するActiveXコントロール「DHTML Edit(dhtmled.ocx)」が,ある条件下ではスクリプトを実行するための関数「execScript()」を適切に処理できないことが原因(DHTML EditはデフォルトでWindowsに含まれている)。このセキュリティ・ホールにより,攻撃者は任意のスクリプトを,他のサイト(信頼できるサイト)のコンテキストでユーザーのIEへ送り込める。IEは,そのスクリプトを他のサイトのコンテキストで解釈する。つまり,クロスサイト・スクリプティング攻撃を許してしまう。

 これにより,攻撃者は,DHTML Editを呼び出すように細工したWebページにユーザーを誘導することで(リンクをクリックさせることで),自分が用意した悪質なサイトを有名企業のサイトに見せかけたり,ユーザーのIEから有名企業サイトへ送信されるCookieを盗んだりできる。

 上写真は,Secuniaが用意するデモ・ページにアクセスした際の表示結果(拡大表示)。アドレス・バーには米CitibankのURLが表示されているが,表示されているのはSecuniaのサイトに置かれたコンテンツである。この方法は,オンライン詐欺「フィッシング」などに悪用可能。

 右写真は,セキュリティ・ホールの発見者である「Paul (from greyhats)」が公開するデモ(拡大表示)。デモ・ページにアクセスすると,米Googleサイトへ送信するCookieの内容が画面上に表示される。ここでは表示させているだけだが,当然攻撃者が盗むこともできる。

 Secuniaでは,今回のセキュリティ・ホールを,すべてのパッチを適用したWindows XP SP1/SP2環境で確認したという。編集部では,すべてのパッチを適用したWindows 2000 Professional環境でも,今回のセキュリティ・ホールを確認した。記事中の画面写真は,いずれもWindows 2000環境で試した結果である。

 米Microsoftからはセキュリティ情報やパッチは公開されていない。Secuniaでは,「IEの『インターネットゾーン』におけるセキュリティ設定を『高』に設定する」ことを対策としてあげている。「高」にしておけば,ActiveXコントロールであるDHTML Editは呼び出されない。

 また,「レベルのカスタマイズ」から「アクティブ スクリプト」を「無効にする」,あるいは「スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行」を「無効にする」――に設定することでも回避できる。

 当然のことながら,「信頼できないページにアクセスしない/信頼できないリンクをクリックしない」ことも,対策として重要である。

◎参考資料
Internet Explorer DHTML Edit ActiveX Control Cross-Site Scripting
Internet Explorer Cross-Site Scripting Vulnerability Test
MSIE DHTML Edit Control Cross Site Scripting Vulnerability(Discussion)
MSIE DHTML Edit Control Cross Site Scripting Vulnerability(Example)

(勝村 幸博=IT Pro)