米Internet Security Systems(ISS)などは現地時間1月14日,Windows XP SP2のInternet Explorer(IE)に見つかったセキュリティ・ホールを公表した。細工が施されたWebページのどこか(リンクに限らない)をクリックすると,警告なしに任意のファイル(例えばウイルス)を勝手にダウンロードさせられる。パッチは未公開。対策はアクティブスクリプトを無効にすることなど。
当初,このセキュリティ・ホールに関する情報は,セキュリティ関連のメーリング・リストに投稿された。その後,ISSといったセキュリティ・ベンダーのサイトやセキュリティ関連サイトなどで公表された。
Windows XP SP2のIEでは,新たに「情報バー(Information Bar)」という機能が追加された。この機能により,危険なコンテンツをダウンロードあるいは表示する場合などに,ユーザーに通知する。例えば,実行形式ファイルをダウンロードする場合には,情報バーに警告が表示される。警告が表示されるのは,ユーザーが実行形式ファイルへのリンクを明示的にクリックした場合だけではない。スクリプトやHTMLイベントによりダウンロードする場合でも警告を表示する。
ところが,Windows XP SP2のIEにおける情報バーの実装にはセキュリティ・ホールがある。具体的には,動的に「iframe」タグを生成するようなonclickイベントがbodyタグとともに使われている場合には,ファイルのダウンロードをきちんと認識できないという。その結果,情報バーに警告を出すことなく,実行形式ファイルなどをダウンロードしてしまう。
ただし,細工が施されたページにアクセスするだけではファイルはダウンロードされない。そのページのどこかをクリックした場合だけダウンロードされるという。
米Microsoftからはセキュリティ情報やパッチは公開されていない。対策はIEのセキュリティ設定を変更すること。セキュリティ・ホールを突くには,スクリプトを使用する。このため,アクティブスクリプトを無効にするなどして,スクリプトが実行されないようにすれば影響を回避できる。
当然のことながら,信頼できないサイトへアクセスしないことも重要である。誤って怪しいサイトへアクセスしてしまった場合には,そのサイトのページ上ではどういったアクションも取らないようにする。どんな罠が仕掛けられているか分からないからだ。すぐに「戻る」ボタンなどを押して引き返したい。
◎参考資料
◆Microsoft Internet Explorer bypass file download warning
◆FullDisclosure: Internet Explorer (SP2) - Remote File Download Information Bar Bypass
◆Internet Explorer アドレスバーの下部に表示されるメッセージについて
(勝村 幸博=IT Pro)
