セキュリティ・ベンダーのSecuniaなどは現地時間4月20日,Windows 2000のエクスプローラ(Windows Explorer)にセキュリティ・ホールが見つかったことを明らかにした。エクスプローラのウインドウ内で細工が施されたファイルを指定すると,ファイルに仕込まれたスクリプト(プログラム)が勝手に実行される。対策は,エクスプローラの設定を変更すること。米Microsoftからはパッチなどは公開されていない。Windows XPは影響を受けない。

 今回のセキュリティ・ホールは,エクスプローラが備える「Webの表示」機能が原因である。「Webの表示」とは,エクスプローラ(フォルダ)のウインドウ内でファイルを指定すると,そのファイルの中身や属性,作成者などをウインドウの左側(preview pane)に表示する機能。デフォルトで有効。

 この機能を実現しているライブラリ「webvw.dll」にセキュリティ・ホールが見つかった。同ライブラリは,指定されたファイルを読み込んで属性情報などを抽出する。この際,抽出する情報をきちんとチェックしない。このため,属性情報(作成者情報)に細工が施されているファイルを読み込むと,そのファイルに含まれる任意のスクリプトをローカル・ユーザー権限(最も制限が緩い権限)で実行してしまう。

 Microsoftからはセキュリティ情報やパッチは公開されていない

 対策は,「Webの表示」を「従来のWindowsフォルダを使う」の設定にすること(デフォルトは「フォルダでWebコンテンツを使う」)。「従来のWindowsフォルダを使う」にすれば,属性情報などは表示されなくなる。「Webの表示」の設定は,「ツール」メニューの「フォルダ オプション」の「全般」タブを選択すれば表示される。

 信頼できないファイルをパソコン上にコピーしない/ダウンロードしないことも重要だ。今回のセキュリティ・ホールについては,「Webページにアクセスしただけ」や「リンクをクリックしただけ」で被害に遭うことはない。パッチなどは公開されていないが,セキュリティのセオリーを守っていれば慌てる必要はない。

◎参考資料
Microsoft Windows Explorer Web View Script Insertion Vulnerability

(勝村 幸博=IT Pro)