セキュリティ・ベンダーのSecuniaなどは現地時間4月20日,Windows 2000のエクスプローラ(Windows Explorer)にセキュリティ・ホールが見つかったことを明らかにした。エクスプローラのウインドウ内で細工が施されたファイルを指定すると,ファイルに仕込まれたスクリプト(プログラム)が勝手に実行される。対策は,エクスプローラの設定を変更すること。米Microsoftからはパッチなどは公開されていない。Windows XPは影響を受けない。
今回のセキュリティ・ホールは,エクスプローラが備える「Webの表示」機能が原因である。「Webの表示」とは,エクスプローラ(フォルダ)のウインドウ内でファイルを指定すると,そのファイルの中身や属性,作成者などをウインドウの左側(preview pane)に表示する機能。デフォルトで有効。
この機能を実現しているライブラリ「webvw.dll」にセキュリティ・ホールが見つかった。同ライブラリは,指定されたファイルを読み込んで属性情報などを抽出する。この際,抽出する情報をきちんとチェックしない。このため,属性情報(作成者情報)に細工が施されているファイルを読み込むと,そのファイルに含まれる任意のスクリプトをローカル・ユーザー権限(最も制限が緩い権限)で実行してしまう。
Microsoftからはセキュリティ情報やパッチは公開されていない
対策は,「Webの表示」を「従来のWindowsフォルダを使う」の設定にすること(デフォルトは「フォルダでWebコンテンツを使う」)。「従来のWindowsフォルダを使う」にすれば,属性情報などは表示されなくなる。「Webの表示」の設定は,「ツール」メニューの「フォルダ オプション」の「全般」タブを選択すれば表示される。
信頼できないファイルをパソコン上にコピーしない/ダウンロードしないことも重要だ。今回のセキュリティ・ホールについては,「Webページにアクセスしただけ」や「リンクをクリックしただけ」で被害に遭うことはない。パッチなどは公開されていないが,セキュリティのセオリーを守っていれば慌てる必要はない。
◎参考資料
◆Microsoft Windows Explorer Web View Script Insertion Vulnerability
(勝村 幸博=IT Pro)