IE 5.01/5.5 ユーザーは要注意，パッチでは修正できないホールが存在

「お勧め設定」に従って，スクリプトを無効にして回避する

山下眞一郎

2002.05.22

　またもやInternet Explorer（IE）のセキュリティ・ホールが複数公開された。パッチも公開されたものの，適用しても解消できないセキュリティ・ホールがIE 5.01/5.5には存在する。「IE 6だけが影響を受ける」とされていたセキュリティ・ホールの一つが，IE 5.01/5.5にも影響を与えることが，パッチ公開後に明らかになったからだ。「お勧め設定」を施せば回避可能だが，IE 5.01/5.5 ユーザーは十分注意が必要だ。

IEにまたもや深刻なセキュリティ・ホール

　マイクロソフトは5月14日，IE 5.01/5.5/6 が影響を受けるセキュリティ・ホール情報を公開した。

2002 年 5 月 15 日 Internet Explorer 用の累積的な修正プログラム (Q321232) (MS02-023)

　公開されたのは6種類の新しいセキュリティ・ホール。最も深刻なセキュリティ・ホールを悪用されると，任意のコードをユーザーのマシン上で実行される恐れがある（関連記事）。

　セキュリティ・ホール情報とともに，日本語版パッチも公開された。非常に深刻なセキュリティ・ホールなので，速やかに適用する必要がある。パッチの適用前提は，IE 5.5 用は IE 5.5 Service Pack（SP）1 または SP 2 を適用済みであること。IE 6 用については適用条件なし。IE 5.01 用については，プラットフォーム（OS）が限定されている。SP 2 を適用済みの Windows 2000，または SP 6a を適用済みのWindows NT 4.0 上で稼働するIE 5.01に対してのみ適用可能である。

　しかしながら，IE 5.01/5.5 については，パッチに不備があることが明らかになっている。当初マイクロソフトは，6種類のうち，あるセキュリティ・ホールについては，IE 6 だけが影響を受けるとしていた。ところが，パッチが公開された後，IE 5.01/5.5 も影響を受けることが明らかになった。そのため，今回公開されたパッチを適用しても，このセキュリティ・ホールについてはふさげないのだ。

パッチが効かないIE 5.01/5.5，「お勧め設定」で回避

　今回の「MS02-023」は，次の5項目（6種類）のセキュリティ・ホールが対象である。

(1)　「ローカル HTML リソースのクロスサイトスクリプティング」
(2)　「HTML オブジェクトによるローカルの情報の漏えい」
(3)　「Cookie 内のスクリプトによる Cookie の読み取り」
(4)　「不正な Web ページによるゾーン偽装」
(5)　「『Content-Disposition』のぜい弱性の新しい2つの変種」

　（5）については，タイトルどおり2種類のセキュリティ・ホールが見つかっているので，合計6種類の新しいセキュリティ・ホールが対象となっている。

　これらのうち，深刻度が「高」なのは，(1)，（2）および（3）。今回のパッチを適用しても IE 5.01/5.5 では回避できないのは，（1）のセキュリティ・ホールである。

　（1）は，あらかじめWindowsにインストールされている，ある特定のHTMLファイルが原因である。そのローカル・ファイルには，クロス・サイト・スクリプティングのセキュリティ・ホールが存在するので，攻撃者から送り込まれたスクリプトを，ローカル・ファイルを実行するのと同じ権限（セキュリティ・ゾーン）で実行させられてしまう恐れがある。

　具体的には，攻撃者（ワーム）が作成した Web ページやHTML メールをセキュリティ・ホールがあるIE（Outlook Express/Outlook など）で閲覧すると，「インターネットゾーン」よりも制限が少ない「マイコンピュータゾーン」で，攻撃者のスクリプトを実行させられる。

　当初，（1）についてマイクロソフトでは，IE 6 のみが影響を受けるとし，IE 5.01/5.5 は影響を受けないとしていた。しかし，IE のセキュリティ・ホールをいくつも発見してきたイスラエルのGreyMagic Software社は5月16日，IE 5.01や5.5も影響を受けることを公表した。同社は「GreyMagic Security Advisory Appendix GM#001-AX」というレポートをWebサイトに掲載するとともに，影響を確認できるデモ・ページを用意した。

　この指摘を受けて，マイクロソフトは既に公開していたセキュリティ情報（レポート）を修正した。レポートに「重要」という項を設け，「IE 6 以外のバージョンについても同様の問題があるとの連絡を受けて現在確認中であり，詳細が確認でき次第このページで報告する」という趣旨の情報を追加した。

　つまり，今回公開されたパッチを適用しても，IE 6 以外については (1)「ローカル HTML リソースのクロスサイトスクリプティング」の影響を受ける恐れが引き続きあるのだ。実際，「IE5.5 SP2 日本語版＋MS02-023を含む全てのパッチ」の環境で筆者がデモ・ページにアクセスしたところ，影響を受けることが確認できた。

　ただし，IEのセキュリティ設定において，「インターネットゾーン」の「アクティブスクリプト」を無効にすれば，デモ・ページは実行されなかった。アクティブスクリプトを無効にすることは，コラムで以前紹介した「IEを使い続けるための“お勧め”設定」に含まれる内容である。つまり，「お勧め設定」を施せば，IE 5.01/5.5 でも（1）の影響を回避できるようである。IE 5.01/5.5 用の新パッチが公開されるまでは，「お勧め設定」で乗り切ろう。

危険度は「中」でも影響は深刻

　今回の「MS02-023」においては，(5)「『Content-Disposition』のぜい弱性の新しい2つの変種」についても触れておきたい。これは，「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」で報告された3つのセキュリティ・ホールのうち，唯一深刻度が「高」の「ファイル実行のぜい弱性」の変種である。

　今回は，特定バージョンの特定アプリケーションがユーザーのシステムにインストールされている場合のみ，セキュリティ・ホールの悪用が可能なので，深刻度を「中」に設定しているが，十分深刻である。

　米Microsoftのレポート「Microsoft Security Bulletin MS02-023」の「Acknowledgments（謝辞）」欄を見ると，（5）は，それぞれJani Laatikainen氏とラック SNS Teamの新井悠氏が報告者であることが分かる。

　新井氏が報告したセキュリティ・ホールとは，過去のコラムで紹介済みの「SNS Advisory No.48 Microsoft Internet Explorer 6 Still Download And Execute ANY Program Automatically」である。米Microsoftのレポート公開に合わせて，5月16日に情報が更新され，セキュリティ・ホールの詳細と検証用のデモが追加された。

　さらに，当初影響を受けるのは IE 6 のみとしていたが，その後の調査により，IE 5.01 SP2 も影響を受ける可能性があることが追加されている。

　今回のパッチが公開されるまでは，「『インターネットオプション』メニューから，ユーザー自身が必要と思うゾーンに対して，『ファイルのダウンロード』を無効にすること」が，このセキュリティ・ホールの回避策だった。パッチを適用したのならば，「ファイルのダウンロード」を有効に戻してもよいだろう。

Netscapeの新版がやっと登場，Operaにはセキュリティ・ホール

　相次ぐ IE のセキュリティ・ホールに嫌気がさして，他のブラウザに乗り換えているユーザーは多いだろう。確かにそれも有効な回避方法の一つである。先週はIE以外のブラウザにも動きがあった。

　Netscape では，前回のコラムで指摘した，ファイルを読み取られるセキュリティ・ホールを解消したバージョンがようやく公開された。

　同様のセキュリティ・ホールが存在した「Mozilla」ではすぐにパッチが公開され，パッチを吸収した「Mozilla 1.0 RC（Release Candidate：リリース候補）2」も，5月10日には公開されていた。しかし，Mozillaに馴染みがないユーザーにとっては，「Netscape 6.2.3」日本語版の公開が待たれていた。

　「Netscape Security Center」では「XMLHttpRequest Vulnerability」に関する情報が変更され，対応済みの「Netscape 6.2.3」をリリースしたことが掲載されている。日本語サイトの「Netscapeセキュリティ・ノート」には情報がないものの（5月20日現在），「Netscape 6.2 にアップグレード」のページから，「Netscape 6.2.3」日本語版をダウンロードできる。

　一方，新たな選択肢として期待が高まっていたOperaでは，バージョン 5.12/6.0/6.01 に深刻なセキュリティ・ホールが発見され，その対応ぶりが問題となっている。日本語版については修正済みのバージョン6.02 の公開が遅れているばかりか，セキュリティ・ホールの存在すら公開されていないのだ（関連記事）。Operaユーザーは注意が必要だ。

MSN チャットコントロールにセキュリティ・ホール

　次に，上記以外のWindows関連のセキュリティ・トピックス（2002年5月18日時点分）を，各プロダクトごとに整理して解説する。まず，上記以外のクライアント・アプリケーションに関する情報については，「マイクロソフトセキュリティ情報一覧」にて，日本語情報およびパッチが1件公開された。

MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022)

　「MSN チャットコントロール」をインストールしているユーザーが，攻撃者が作成したWebページやHTMLメールを閲覧した場合，任意のコードを実行させられる恐れがある。

　原因は，MSN チャットコントロールが持つ，入力パラメータを処理する機能の一つに，未チェックのバッファが存在すること。これを悪用することで，バッファのオーバーラン攻撃が可能となる。MSN チャットコントロールや，MSN チャットコントロールが同こんされているMSN Messenger および Exchange Instant Messenger を最新バージョンにアップグレードすれば回避できる（関連記事）。

　影響を受けるのは，ユーザーが MSN チャットコントロール，MSN Messenger または Microsoft Exchange Instant Messengerをインストールしている場合に限られる。これらはデフォルトではインストールされていない。Windows XP には Windows Messenger というチャット・プログラムがデフォルトでインストールされているが，MSN チャットコントロールを含まないので影響を受けない。

　なお，マイクロソフトが公開しているパッチは，MSN チャットコントロールを更新するものではなく，レジストリを変更して，IEから同コントロールを利用できなくするものである。つまり，一時的に影響を回避するためのパッチである。

　そのため，MSN チャットコントロールや MSN Messenger および Exchange Instant Messenger のユーザーは，早急に最新バージョンにアップグレードする必要がある。

IISについての追加情報が公開

　各種サーバー・アプリケーション関連では，「マイクロソフトセキュリティ情報一覧」にて，追加情報が1件公開された。

Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)

　以前のコラムでお知らせした通り，Internet Information Server/Services（IIS）4.0/5.0/5.1において， 10種類のセキュリティ・ホールが見つかっている。最も深刻なセキュリティ・ホールを悪用されると，攻撃者が選択したコードをサーバー上で実行される可能性がある（関連記事）。非常に深刻なセキュリティ・ホールであるため，速やかにパッチを適用する必要がある。

　今回，Windows XP用の修正パッチが5月10日に再公開されたことが追記された。4月10日に公開された Windows XP (IIS5.1) 用の修正パッチには，IIS のヘルプやサンプルの検索機能と，FTP サーバーのメッセージの一部に，日本語化されていない部分が存在していた。そのため，それらを修正したパッチが改めて公開された。

　再適用する場合には，以前の修正パッチを一度アンインストールした後に，新しいパッチを適用する必要があるので注意が必要だ。セキュリティ・ホール自体は，以前のパッチで修正されている。そのため，検索機能やFTP サーバーを利用する場合に，再適用すればよいだろう。

ウイルスのデマ情報と月刊サマリーが公開

　「TechNet Online セキュリティ」では，（1）「jdbgmgr.exe に関する情報」と（2）「2002 年 4 月セキュリティ警告サービス月刊サマリー」というドキュメントが2件公開された。

　（1）は，「jdbgmgr.exe ファイルはウイルスなので，検索して削除してください」という内容の，デマ・メールに関する情報である（関連記事）。文面が日本語のものも出回っているので，注意する必要がある。同情報には，jdbgmgr.exe の復旧方法も記載されている。誤って削除してしまっても，簡単に復旧できるので慌てず対応しよう。

　今回に限らず，ウイルスに関するデマはよく出回る。トレンドマイクロは，ウイルスに関するデマの特徴を記述した「ウイルスデマ情報（HOAX）とは？」を公開しているので，一度目を通しておいて，だまされないようにしたい。

　（2）は，マイクロソフトが登録ユーザーに配信する，毎月のセキュリティ情報をまとめたメールをWebページ化したものだ。時間がある時にでも目を通して，再確認しておきたい。

マイクロソフトセキュリティ情報一覧

『Internet Explorer』
◆2002 年 5 月 15 日 Internet Explorer 用の累積的な修正プログラム (Q321232) (MS02-023)
　（2002年5月17日：「ローカル HTML リソースのクロスサイトスクリプティング」および「Cookie 内のスクリプトによる Cookie の読み取り」のぜい弱性による攻撃の可能性と，ローカルで実行されるスクリプトに関する情報が訂正，最大深刻度 : 高）
　（2002年5月16日：日本語情報，及び日本語版パッチ公開，最大深刻度 : 高）

『MSN チャットコントロール／Microsoft MSN Messenger 4.5，4.6／Microsoft Exchange Instant Messaging サービス 4.5，4.6』
◆MSN チャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022)
　（2002年5月9日：日本語情報および日本語版パッチ公開，最大深刻度 : 高）

『IIS』
◆Internet Information Services 用の累積的な修正プログラム (Q319733) (MS02-018)
　（2002年5月17日：2002 年 5月 10日に Windows XP用の修正パッチが再公開されたことが追記，最大深刻度 : 高）

TechNet Online　セキュリティ

◆jdbgmgr.exe に関する情報　（2002年 5月10日）

◆2002 年 4 月セキュリティ警告サービス月刊サマリー　（2002年 5月 8日）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）