マイクロソフトは5月11日,Windows 2000が影響を受けるセキュリティ情報を1件公表した。エクスプローラ(Windows Explorer)で細工が施されたファイルを指定すると,ファイルに仕込まれたスクリプト(プログラム)が勝手に実行される可能性がある。最大深刻度(セキュリティ・ホールの危険度)は上から2番目の「重要」。
セキュリティ・ホール自体は,第三者により4月に公表されている(関連記事)。セキュリティ・ホールを突くコードも公開されているので,影響を受ける環境ではできるだけ早急に修正パッチを適用したい。「Windows Update」などから適用できる。なお,Windows 98/98SE/Meも影響を受けるが,深刻度が「緊急ではない」のため,パッチは提供されない。Windows XP/Server 2003は影響を受けない。
今回公開されたセキュリティ情報「『Web の表示』の脆弱性により,リモートでコードが実行される (894320) (MS05-024)」には,以下のセキュリティ・ホール情報が1件含まれる。
“Web の表示”のスクリプト挿入の脆弱性(CAN-2005-1191)
このセキュリティ・ホールは,エクスプローラが備える「Webの表示」機能が原因。「Webの表示」とは,エクスプローラ(フォルダ)のウインドウ内でファイルを指定すると,そのファイルの中身や属性,作成者などをウインドウの左側(preview pane)に表示する機能。デフォルトでは有効になっている。
この機能を実現しているライブラリ「webvw.dll」は,ユーザーが指定されたファイルを読み込んで属性情報などを抽出し表示しようとする。この際,抽出する情報をきちんとチェックしないので,属性情報(作成者情報)に細工が施されているファイルを読み込むと,そのファイルに含まれる任意のスクリプトをローカル・ユーザー権限(最も制限が緩い権限)で実行してしまう。
セキュリティ・ホールの内容やセキュリティ・ホールを突くコードは,第三者により既に公表されている。しかしながら,マイクロソフトには実際に攻撃を受けたという報告は寄せられていないという。
今回公開されたパッチを適用すれば,セキュリティ・ホールをふさげる。パッチはWindows Updateやセキュリティ情報のページから入手可能。同社の予告では,今回の修正パッチの適用後,再起動は必要ないとされていたが,実際には再起動の必要がある(関連記事)。
すぐにパッチを適用できない環境では,「Webの表示」を「従来のWindowsフォルダを使う」に設定変更して回避する(デフォルトは「フォルダでWebコンテンツを使う」)。「従来のWindowsフォルダを使う」にすれば,属性情報などは表示されなくなる。「Webの表示」の設定は,「ツール」メニューの「フォルダ オプション」の「全般」タブを選択すれば表示される。
信頼できないファイルをパソコン上にコピーしない/ダウンロードしないことも回避策として重要。また,信頼できないマシンにはアクセスしない/ファイル共有しないようにすることも重要である。組織外の信頼できないファイル・サーバーへのアクセスを未然に防ぐために,ファイアウオールなどでTCP ポート139および445をふさぐことを,同社では回避策の一つとして挙げている。
月例セキュリティ情報に併せて,マイクロソフトでは「悪意のあるソフトウェアの削除ツール」の新版を公開した(関連記事)。バージョン1.4あるいは「2005年5月」版とされている。新版では「Sdbod」も削除できるようになり,計21種類のウイルス(ワーム)に対応した。なおSdbodは,「Rbod」や「Gaobot」と同じようにボット・プログラムの一種(関連記事)。
ツールを利用できるのは,Windows 2000/XP/Server 2003。Windows XPについては「Windows Update」からも利用可能。Windows XPのWindows Updateでは,「Windows 悪意のあるソフトウェアの削除ツール - 2005年5月 (KB890830)」として表示される。
◎参考資料
◆2005年5月のセキュリティ情報
◆「Web の表示」の脆弱性により,リモートでコードが実行される (894320) (MS05-024)
◆Microsoft Windows悪質なソフトウェアの削除ツール (KB890830)
(勝村 幸博=IT Pro)
