「Windows Media Player 7」のセキュリティ・ホールをふさぐ日本語版用パッチが4月6日にやっと公開された。このセキュリティ・ホールは,自分のパソコン上で任意のプログラムを実行される恐れがある深刻なものなので,ユーザーは早急にパッチを適用しよう。

セキュリティ・ホールの公開から2カ月遅れでパッチが登場

 2月15日に第一報が出された「Windows Media Player スキン・ファイルがJava コードを実行してしまう」というセキュリティ・ホールに関するレポートが4月6日にアップデートされ,Windows Media Player 7 用日本語版パッチが公開された。

 第一報が出たときにこのコラムでも解説済みだが,Windows Media Playerにはそのルック・アンド・フィールを変更できる「スキン」という機能がある。スキン機能を実現するカスタム・スキン (.WMS) ファイルにはスクリプトやJavaコードを包含でき,それをリモートのパソコン上で実行させることができる。今回のセキュリティ・ホールを突かれると,この機能を悪用されて自分のパソコン上で任意のプログラムを実行されてしまう恐れがある。

 このセキュリティ・ホールを突くにはJavaを利用する(ただしJava自身に問題があるわけではない)。そのため,Internet Explorer(IE)の「インターネットオプション」のセキュリティ項目にてJavaを無効にすれば回避可能である。しかしながら,Java機能はデフォルトでは有効であり,かつ今回のセキュリティ・ホールは自分のパソコン上で任意のプログラムを実行される恐れがある非常に危険なものだ。ぜひ今回のパッチを適用して対処しよう。

 なお,スキンに関連する類似のセキュリティ・ホールとして「『.ASX バッファ オーバーラン』と『.WMSスクリプト 実行』のぜい弱性に対する対策」が存在する。セキュリティ・ホールの詳細については過去のコラムを参考にしてもらうとして,ここではこれらと今回パッチが公開されたセキュリティ・ホールとの関係を述べる。

 結論からいうと,上記セキュリティ・ホールと今回のセキュリティ・ホールはどちらもスキン機能が関係しているものの,まったくの別物である。そのため,上記のセキュリティ・ホールを回避するためにWindows Media Player 7をアップデートしていても,今回のセキュリティ・ホールはふさげない。改めて今回公開されたパッチを適用する必要がある。

 アップデートやパッチの適用状況については,Windows Media Player 7の「ビルド番号」で確認できる(ビルド番号は,同ソフトの[ヘルプ]-[バージョン情報]をクリックすれば表示される)。Windows Media Player 7を「Windows Update」等で導入した際の当初のビルド番号は「7.00.00.1956」である。そして,「『.ASX バッファ オーバーラン』と『.WMSスクリプト 実行』のぜい弱性に対する対策」に対処するために,[ヘルプ]-[プレーヤーのアップグレードの確認] から自動アップグレードすると,ビルド番号は「7.00.00.1958」 になる。このビルド番号では今回のセキュリティ・ホールは修正されていない。公開されているパッチを適用して,ビルド番号を「7.00.00.1959」にしなければいけない。パッチ適用後は念のためにビルド番号をチェックしておこう。

 それにしても,今回の日本語版用パッチが公開されるまでには時間がかかった。英語版に遅れることおよそ2カ月である。今回ばかりではなく,上述の「『.ASX バッファ オーバーラン』と『.WMSスクリプト 実行』のぜい弱性に対する対策」用パッチの日本語版公開にも時間がかかっている。「『.ASX バッファ オーバーラン』と『.WMSスクリプト 実行』のぜい弱性に対する対策」の英語版用パッチは2000年11月末,今回の英語版用パッチは2001年2月中旬に公開されている。

 これらの日本語版用パッチの公開が遅れたことにより,Windows Media Player 7 日本語版は危険な状態で長い間放置されていたことになる。OSやIEなどの“基幹”製品の致命的なセキュリティ・ホールに関しては,日本語版用パッチ公開までのタイムラグが非常に短くなっている。同じように,ユーティリティ・プログラムでもパッチ提供のスピードアップを図ってほしいものだ。

 また,Windows Media Player 7関連のセキュリティ・ホールや対処方法に関する説明が,パッチのダウンロード・サイトである「Windows Media Technologies Downloads」のページに一切見当たらないことも気になる。せっかく日本語版用パッチが出揃ったのだから,積極的に周知してほしい。

IEの深刻なセキュリティ・ホール情報がアップデート

 上記以外のWindows関連のセキュリティ・トピックス(2001年4月6日時点分)を整理する。「マイクロソフト セキュリティ情報」において新規のセキュリティ・ホール情報は1件もなかった。ただし,先週紹介した「不適切な MIME ヘッダーが原因で IEが電子メールの添付ファイルを実行する」の情報がアップデートされている。

 具体的には,「修正プログラムが適用されるべき Internet Explorer のバージョン以外を動作するシステムにインストールされた場合,修正プログラムが必要でないことを示すエラー メッセージが表示されます。このメッセージは正しくありません」という警告が追加されている。つまり,パッチ(修正プログラム)の不具合のために,対象としている「Internet Explorer 5.01 (Service Pack 1適用済)」あるいは「Internet Explorer 5.5 (Service Pack 1適用済)」以外にパッチを適用しようとすると,必要であるにもかかわらず,いかにもパッチが不要であるかのようなメッセージが表示されてしまうのだ。

 エラー・メッセージが表示されても,パッチを適用しなくてはいけない。現在公開されているのは「Internet Explorer 5.01 (Service Pack 1適用済)」用と「Internet Explorer 5.5 (Service Pack 1適用済)」 用のパッチなので,パッチを適用する前に必要に応じてService Packを適用する必要がある。

 自分が使っているIEのバージョンやService Packの適用状況が分からないユーザーは,「Windows Update」機能を使用して「Internet Explorer 5.5 (Service Pack 1適用済)」へアップグレードした後,パッチを適用するとよいだろう。パッチの適用後,[ヘルプ]-[バージョン情報] をクリックして表示される更新バージョンのフィールドに,「Q290108」が表示されればセキュリティ・ホールはふさがっている。ぜひチェックしておこう。

 また,同セキュリティ・ホールについて,米CERT/CCが公開したドキュメント「CERT Advisory CA-2001-06 Automatic Execution of Embedded MIME Types」についても目を通しておきたい。というのも,Outlook/Outlook Expressに限らず,HTMLメールの解釈と表示をIEに任せている電子メール・ソフトすべてがセキュリティ・ホールの影響を受けるからだ。ドキュメントにはマイクロソフト製以外のメール・ソフトに関する情報が記載されている。要チェックである。

 先週のコラムでも紹介したように,「不適切な MIME ヘッダーが原因で IEが電子メールの添付ファイルを実行する」は,自分のパソコン上で任意のプログラムを実行されてしまう可能性がある非常に深刻なセキュリティ・ホールである。さらに,簡単に悪用できるため,このセキュリティ・ホールを突いたウイルスやワームが今後蔓延することが予想される。今回のパッチでは対応できない新しいアタック方法もあるようだ。今後もこのセキュリティ・ホールに関しては,継続的にウォッチする必要がある。

日本語版用の新規パッチが1件公開

 「Microsoft ダウンロード センター」では,「マイクロソフト セキュリティ情報」ではまだアナウンスされていないセキュリティ関連パッチが1件公開された。「Winsock Mutex の弱いアクセス権によりサービスにエラーが発生する」に関するMicrosoft Windows NT 4.0用日本語版パッチである。

 このセキュリティ・ホールは,悪意のあるユーザーがリソースへのアクセスを制御する同期オブジェクト「mutex」に対して特別なプログラムを実行し,ターゲットとしたコンピュータのネットワーク機能を無効にできるというものだ。

 このセキュリティ・ホールを悪用してアタックを行う場合には,ターゲットのマシンに対話的ログオンを行う必要があり,リモートからのアタックは不可能である。そのため実質的な影響は小さいのでパッチ適用は必須ではない。必要に応じてパッチを適用しよう。

「TechNet Online - Security」ではドキュメントが1件公開

 「TechNet Online - Security」では,「『セキュリティのぜい弱性』の定義」という,米Microsoftの「Microsoft Security Response Center(MSRC)」が公開したドキュメントの邦訳版が公開された。

 このドキュメントは,(1)マイクロソフトが製品の「ぜい弱性」をどのように捉え,定義しているのか,また(2)マイクロソフトはどのような問題を「セキュリティ上の問題」と考え対応するのかについて説明している。セキュリティのぜい弱性に関するマイクロソフトの見解が分かるので,「どうしてこのバグは,『マイクロソフト セキュリティ情報』で取り上げられないのだろうか」と感じたことがあるユーザーは,特に目を通すことをお勧めする。



 ■(MS01-010)「Windows Media Player スキン ファイルが Java コードを実行してしまう」(2001年4月6日:日本語版パッチ公開)

マイクロソフト セキュリティ情報

 ■(MS01-020)「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」(2001年4月2日:記載内容追加公開)

 ■「CERT Advisory CA-2001-06 Automatic Execution of Embedded MIME Types」(米国時間2001年4月3日公開)
 □「CERT Advisory CA-2001-06 Automatic Execution of Embedded MIME Types」(株式会社ラックによる邦訳版)

Microsoft ダウンロード センター

 ■(MS01-003)「Winsock Mutex の弱いアクセス権によりサービスにエラーが発生する」
 □Windows NT 4.0用の日本語版パッチ(2001年4月3日:日本語版パッチ公開)

TechNet Online 目的別インデックス(セキュリティ情報)

 ■「『セキュリティのぜい弱性』の定義」(2001年4月5日:日本語訳公開)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)