• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Windows 2000のエクスプローラにセキュリティ・ホール,任意のスクリプトを実行させられる

勝村幸博 2005/04/21 ITpro

 セキュリティ・ベンダーのSecuniaなどは現地時間4月20日,Windows 2000のエクスプローラ(Windows Explorer)にセキュリティ・ホールが見つかったことを明らかにした。エクスプローラのウインドウ内で細工が施されたファイルを指定すると,ファイルに仕込まれたスクリプト(プログラム)が勝手に実行される。対策は,エクスプローラの設定を変更すること。米Microsoftからはパッチなどは公開されていない。Windows XPは影響を受けない。

 今回のセキュリティ・ホールは,エクスプローラが備える「Webの表示」機能が原因である。「Webの表示」とは,エクスプローラ(フォルダ)のウインドウ内でファイルを指定すると,そのファイルの中身や属性,作成者などをウインドウの左側(preview pane)に表示する機能。デフォルトで有効。

 この機能を実現しているライブラリ「webvw.dll」にセキュリティ・ホールが見つかった。同ライブラリは,指定されたファイルを読み込んで属性情報などを抽出する。この際,抽出する情報をきちんとチェックしない。このため,属性情報(作成者情報)に細工が施されているファイルを読み込むと,そのファイルに含まれる任意のスクリプトをローカル・ユーザー権限(最も制限が緩い権限)で実行してしまう。

 Microsoftからはセキュリティ情報やパッチは公開されていない

 対策は,「Webの表示」を「従来のWindowsフォルダを使う」の設定にすること(デフォルトは「フォルダでWebコンテンツを使う」)。「従来のWindowsフォルダを使う」にすれば,属性情報などは表示されなくなる。「Webの表示」の設定は,「ツール」メニューの「フォルダ オプション」の「全般」タブを選択すれば表示される。

 信頼できないファイルをパソコン上にコピーしない/ダウンロードしないことも重要だ。今回のセキュリティ・ホールについては,「Webページにアクセスしただけ」や「リンクをクリックしただけ」で被害に遭うことはない。パッチなどは公開されていないが,セキュリティのセオリーを守っていれば慌てる必要はない。

◎参考資料
Microsoft Windows Explorer Web View Script Insertion Vulnerability

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る