米Microsoftは11月12日,Internet Explorer(IE)の「Cookie データの漏えい」や「ドットなしIPアドレス問題」を解消する累積的な修正パッチを公開した。パッチの公開は歓迎すべきことだが,今回のパッチにより修正されるセキュリティ・ホールの一つは,今までまったくアナウンスされていない新しいものだ。セキュリティ・ホールの内容についてはほとんど解説されていないので,うがった見方をすれば,累積的パッチの“どさくさ”に紛れて公開したとさえ思えてしまう。
パッチを適用すれば確かに解消はされるものの,こういった形でのアナウンスでは,何が問題なのか,パッチ以外の回避方法は存在するのか,といった情報がユーザーにはまったく分からない。パッチだけではなく,セキュリティ・ホールの情報についてもきちんと公開してもらいたい。
IE に新規のパッチ,Cookie データの漏えいやドットなしIPアドレス問題を解消
Windows関連のセキュリティ・トピックス(2001年11月16日時点分)を,各プロダクトごとに整理して解説する。
『Internet Explorer』関連では,「マイクロソフト セキュリティ情報一覧」にて,新規のパッチが1件公開された。
(1)2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム
セキュリティ・ホールについては,先週紹介済みである。IE 5.5 および 6 には,Cookie の取り扱い方法にセキュリティ・ホールがあるため,これを突くようなURLを記述したWebページあるいはHTMLメールによって,ユーザーのCookie データを不正に取得されたり,変更されたりする恐れがある。
深刻なセキュリティ・ホールであるにもかかわらず,セキュリティ・ホールが公開された時点でパッチは公開されていなかった。それが今回,やっと公開された。「Internet Explorer Downloads」のWebページに,米国時間11月12日からパッチが公開されている。日本語版がいつ公開されたのかは不明だが,11月15日にはダウンロード可能となっていた。「DOWNLOAD Select Language:」で「Japanese」を選択すればダウンロードできる。また,「マイクロソフト セキュリティ情報一覧」でも16日から公開された。非常に重要なパッチであるため,対象製品のユーザーはすぐに適用しよう。
今回のパッチが修正するのは,「(MS01-055)Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される」だけではない。このパッチでは,「MS01-055」とはまったく関連がない,Cookie データの漏えい問題に関する新たなセキュリティ・ホールも修正する。加えて,「MS01-051」のパッチを適用しても解決しなかった,IE の「ドットなしIPアドレス」問題についても修正する。つまり,合計3種類のセキュリティ・ホールを解消できるのである。
そのため,URL は「MS01-055」に対応したものではあるが,レポートの表題は当初の「Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される」から,「2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム」に変更されている。
表題だけではなく,“危険度”も変更されている。「MS01-052」の情報から明記されるようになった“危険度”が,「インターネット サーバー」「イントラネット サーバー」「クライアント システム」のすべてにおいて,「高」から「中」に変更されている。深刻なセキュリティ・ホールであるにもかかわらず,なぜ危険度が下げられたのか,筆者自身には納得がいかない。しかし,もっと納得がいかないのは,今回のパッチでふさげるとしている,新しいセキュリティ・ホールについての詳しい説明がないことだ。
意図的に隠された?新しいセキュリティ・ホール
新しいセキュリティ・ホールは「MS01-055」とはまったく関連がないものの,同じく Cookie データの漏えいに関するものである。その内容についてはレポートに明記されていないものの,英語のWebページ「13 November 2001 Cumulative Patch for IE」の「Acknowledgments」の欄に,The Apache Software FoundationのMarc Slemko氏に対する謝辞があることから,11月初旬に公開された同氏のレポート「Microsoft Passport to Trouble」に記載されている,米Microsoftの認証システム「Passport」のセキュリティ・ホールに対応するパッチであると推察される([参考記事])。
具体的には,Hotmailにアカウントを持つユーザーが,Hotmailにログインしてから15分以内に特殊なスクリプト付きのメールを読んだ場合,Cookie データを盗まれる恐れがあるというものだ。これにより,クレジット・カード番号などの個人情報が含まれる可能性がある,「Passport」の「eWallet」の情報を奪われてしまうというシナリオが想定されると,同レポートで述べられている。
言うまでもなく,深刻なセキュリティ・ホールである。早急に対策を施す必要がある。今回のパッチを適用すれば当然解消できるが,他のスクリプトを悪用した攻撃同様,この攻撃も設定変更で回避できる。Outlook Express を使用している場合は,「アクティブ スクリプト」を無効にする「制限付きサイト」 ゾーンを使用するように設定し(Outlook Express 6 ではデフォルト設定),Outlookを使用している場合は,「Outlook 電子メール セキュリティ アップデート」を適用(このセキュリティアップデートは,Outlook 2002,もしくは「Office 2000 Service Pack 2」を適用済みの場合は不要)することで,回避可能である。
上記のような“セキュリティ・ホールの深刻さ”や“パッチの以外の回避方法”は,セキュリティ・ホール情報が公開されないと通常のユーザーは分からない。今回公開された情報では,当然不足している。“意図的に”隠したということはないだろうが,新たなセキュリティ・ホールの情報はぜひ積極的に公開してほしい。「パッチ作成を第一に考え,情報をまとめるのが後回しになった」というのであれば,今からでもよいから公開してもらいたい。パッチ同様,情報についてもユーザーは求めているのである。
『Windows ME』ではパッチのアップデート版が1件
『Windows ME』関連は,「マイクロソフト セキュリティ情報一覧」にて,パッチのアップデート版が1件公開された。
(1)無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する
内容については先週紹介済みである。Windows ME および XP,あるいは インターネット接続共有 (ICS) クライアントをインストールした Windows 98/98SE で使用できる「ユニバーサル プラグ アンド プレイ(UPnP)」サービスは,ある種類の無効な UPnP リクエストを適切に処理できないという問題がある。そのため,そのようなリクエストを受け取ると,システムのパフォーマンス低下やシステムの異常終了が発生する恐れがある。日本語情報と同時に,対象となるOSすべての日本語版パッチも11月2日に公開された。
しかしながら,Windows ME用のパッチには不具合が発見された。そのため,英語のWebサイトからは8日に削除されていた。ただし,日本語のWebサイトでは11月12日まで掲載されていた。削除前のパッチを適用すると,Explorerがハングアップしたり,マシンのパフォーマンスが不安定になる恐れがある(この情報については,Webページには記載されていない)。
そしてようやく11月16日に,不具合が解消されたWindows ME用の日本語版パッチが再登場した。不具合がある最初のパッチを適用したユーザーは,今回公開された新しいバージョンをダウンロードし,再適用する必要がある。
マイクロソフト セキュリティ情報一覧
『Internet Explorer』
◆(MS01-055)2001 年 11 月 13 日 Internet Explorer 用の累積的な修正プログラム
(2001年11月16日:日本語版修正パッチを公開し,Cookie 処理に関連する脆弱性とゾーン偽装問題の変種の修正も包含されるとの情報を公開,最大危険度 : 中)
『Windows ME』
◆(MS01-054)無効なユニバーサル プラグ アンド プレイのリクエストがシステムのオペレーションを妨害する
(2001年11月16日:Windows ME 用の不具合を解消した新しいバージョンの日本語版パッチ公開,最大危険度 : 低)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
