マイクロソフトは3月30日,Internet Explorer 5.01/5.5(以下,IEと略)の深刻なセキュリティ・ホールを公開した。Outlook/Outlook ExpressなどのHTMLメールの内容の解釈と表示をIEに任せている電子メール・ソフトで,ある特定のHTMLメールを開くなどした場合,添付されている実行可能なファイルを勝手に実行してしまう恐れがあるというもの。「Microsoft ダウンロードセンター」にパッチが公開されているので,ぜひ適用しておこう。

MIMEの処理に不具合

 「マイクロソフト セキュリティ情報」では,IE 5.01/5.5 が影響を受ける非常に危険なセキュリティ・ホール「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」の日本語解説が,2001年3月30日に公開された。ユーザーが攻撃者の Web サイトを訪問したり,攻撃者が送信した HTML電子メールを開いた場合,攻撃者が選択したコードをユーザー・マシン上で勝手に実行されてしまう恐れがある。

 これは,IEがある特定の MIME(Multipurpose Internet Mail Extensions)形式を正しく処理できないことが原因である。例えば,実行形式ファイルをHTMLメールに添付して,そのファイルのMIME形式を IE が正しく処理できない形式に変更して送信する。すると,受信者がそのHTMLメールを開いた際に,IEが添付ファイルを自動的に起動してしまう。

 「マイクロソフト セキュリティ情報」では公開されていないものの,「Microsoft ダウンロード センター」では「Internet Explorer 5.01 (Service Pack 1適用)」用,「Internet Explorer 5.5 (Service Pack 1適用)」用の日本語版パッチが公開されている。ぜひ適用しておこう(IT Pro追記 4月2日の夕方,「マイクロソフト セキュリティ情報」に日本語版パッチへのリンクが追加された)。

 また,パッチを適用しなくても,設定で回避することもできる。IEの「セキュリティ ゾーン」で「ファイルのダウンロード」を無効にすれば回避可能である。しかし,デフォルトでは「ファイルのダウンロード」は有効になっている。また,問題のない普通のファイルもダウンロードできなくなる。そのため,マイクロソフトは修正パッチの適用で回避することを勧めている。

 ちなみに,IE 5.01 Service Pack 2 はこのセキュリティ・ホールに対応済みである。今回のセキュリティ・ホール対策として,IE 5.01 Service Pack 2に乗り換えるのも手だ。「マイクロソフト セキュリティ情報」では,日本語版 IE 5.01 Service Pack 2 はまだリリースされていないとしているが,既に「日本語版 Internet Explorer 5.01 Service Pack 2 のセットアップ・プログラム」は「ダウンロード センター」で公開されている。

上記以外のセキュリティ・ホール情報は2件

 上記以外のWindows関連セキュリティ・トピックス(2001年3月30日時点分)を整理しておく。「マイクロソフト セキュリティ情報」では,上記以外にも新規のセキュリティ・ホール情報が2件公開された。

 まず, Microsoft Plus! 98 とWindows Me が影響を受ける(1)「圧縮フォルダのパスワードが復元されてしまう」が公開された。Plus! 98/Me の圧縮フォルダ機能を使用している場合,データ圧縮パスワードが盗まれる可能性がある。英語版パッチは公開されたが,日本語版パッチは公開されていない。

 このセキュリティ・ホールは,フォルダを保護するためのパスワードを「c:\windows\dynazip.log」に記録してしまうことが原因である。このファイルにアクセスできれば,圧縮フォルダのパスワードを入手できてしまう。

 しかしながら,このファイルをリモートから入手するには「c:\windows」フォルダが共有設定されていなければならない。さもなくば,攻撃者が対象システムに物理的にアクセスする必要がある。そのため,影響は小さいと考えられる。

 次に,Visual Studio 6.0 Enterprise Edition,Visual Basic 6.0 Enterprise Edition が影響を受ける(2)「Visual Studio 6.0 VB T-SQL オブジェクトが問題のあるバッファを含む」が公開された。Visual Studio 6.0 Enterprise Edition または Visual Basic 6.0 Enterprise Edition を使用している場合,攻撃者が選択したコードをユーザーのマシン上で実行されてしまう可能性がある。これも,英語版パッチは公開されたが,日本語版パッチは公開されていない。

 このセキュリティ・ホールは,同梱されている「VB T-SQL デバッガ オブジェクト」のパラメータを処理するコードが問題のあるバッファを含んでいることが原因である。そのため,攻撃者がある特定のデータを送り込んで,バッファ・オーバーフローを引き起こしてオブジェクトを異常終了させたり,任意のコードを実行させたりすることが可能となる。

 ただし,リモートからこの攻撃を行うには,ポート番号 137,138,139,445が外部に対して開かれている必要がある。これらのポートを閉じておくことはセオリーであるため,影響を受けるケースは少ないであろう。

新規の日本語版パッチは2件

 「マイクロソフト セキュリティ情報」ではレポートがアップデートされ,2件の日本語版パッチが公開された。(1)「VeriSign 発行の誤ったデジタル証明書による,なりすましの危険性」に関するWindows 95/98/NT 4.0/2000/Me 共通のパッチと,(2)「『.ASX バッファ オーバーラン』と『.WMS スクリプト 実行』のぜい弱性に対する対策」に関するWindows Media Player 6.4/7 用日本語版パッチである。

 (1)のセキュリティ・ホールは,VeriSign社が2 通の「VeriSign クラス 3 コード署名ディジタル証明書」をマイクロソフト社員を詐称した人物に誤って発行したことが原因である。そのため,悪意があるコードを「Microsoft Corporation」名義でデジタル署名される可能性がある([関連記事])。

 対策として,マイクロソフトは誤って発行したデジタル証明書を受け入れないようにするパッチを公開した。このパッチを適用すると,それらの証明書が無効であることを示す「証明書失効リスト (CRL) 」が組み込まれ,不当なディジタル証明書で署名されたコードをダウンロードしようとすると,その証明書が無効であることが表示される。

 非常に危険なセキュリティ・ホールである。ぜひパッチを適用しておこう。

 (2)の『.ASX バッファ オーバーラン』セキュリティ・ホールは,Windows Media Player 6.4/7がサポートするActive Stream Redirector (.ASX)ファイルの処理部にバッファのチェック漏れがあることに起因している。悪意のあるユーザーがセキュリティ・ホールを突いた.ASXファイルを他のユーザーに送りつけたり,Webサイトに仕掛けることにより,他のパソコン上で任意のコードを実行させることができる。

 『.WMS スクリプト 実行』セキュリティ・ホールはWindows Media Player 7だけが影響を受ける。Windows Media Player 7は,インタフェースを変更することができる「スキン」呼ばれる機能を搭載している。その機能を実現するカスタム・スキン (.WMS) ファイルはスクリプトを包含し,リモートのパソコン上で実行させることが可能であるため,悪意のあるユーザーが特定の.WMSファイルを他のユーザーにメールで送りつけたり,Webサイトに仕掛けたりすることにより,様々なスクリプトを実行させることができてしまう。

 このセキュリティ・ホールを悪用すれば,“safe for scripting”のマークがついていないActiveXコントロールも他人のマシン上で勝手に実行することが可能であり,影響は非常に大きい。Windows Media Player 6.4の場合はパッチの適用,Windows Media Player 7の場合はアップグレードして対処する必要がある。



 ■(MS01-020) 「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」(2001年3月30日:日本語解説公開)

Microsoft ダウンロード センター

 □「Internet Explorer 5.01 Service Pack 1 ,Internet Explorer 5.5 Service Pack 1 用の日本語版も含むパッチ」(2001年3月29日公開)

 □「日本語版 Internet Explorer 5.01 Service Pack 2 のセットアップ・プログラム」(未アナウンス)

マイクロソフト セキュリティ情報

 ■(MS01-019) 「圧縮フォルダのパスワードが復元されてしまう」(2001年3月29日:日本語解説公開)

 ■(MS01-018) 「Visual Studio 6.0 VB T-SQL オブジェクトが問題のあるバッファを含む」(2001年3月29日:日本語解説公開)

 ■(MS01-017) 「VeriSign 発行の誤ったデジタル証明書による,なりすましの危険性」(2001年3月23日:日本語解説公開,2001年3月29日:パッチ公開)

 ■(MS00-090) 「『.ASX バッファ オーバーラン』と『.WMS スクリプト 実行』の脆弱性に対する対策」(2001年3月19日:日本語版パッチ公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)