今さらではあるが,ブラウザのセキュリティについては要注意である。Internet Explorer(IE)には新たなセキュリティ・ホールが発見されているし,Operaでは深刻なセキュリティ・ホールを修正した新版が公開された。それぞれのユーザーは,早急に設定変更やバージョン・アップを行おう。また,.NET FrameworkやExchange 2000にもセキュリティ・ホールが見つかっている。サーバー管理者はパッチを適用して対処する必要がある。

Operaユーザーはバージョンアップを

 ノルウェーOpera SoftwareのWebブラウザの最新バージョンである「Opera 6.03 for Windows」の日本語版が,2002年5月30日トランスウエアから公開された(関連記事)。

 今まで公開されていたOpera日本語版はバージョン6.01ベータで,次に公開されるのはバージョン6.02の予定だった。しかし,Operaには最近2種類のセキュリティ・ホールが相次いで見つかり,うち1種類のセキュリティ・ホールについては,6.02も影響を受けることが明らかとなった。

 そのため 6.02の公開はスキップされ,6.03が公開された。今回公開された6.03では,いずれのセキュリティ・ホールも解消されている。しかし,Opera Softwareからは,セキュリティ・ホールの情報は全く公開されていない状況であった。

 それがようやく,日本語版の公開とともに,トランスウエアからその概要が公式にアナウンスされた。「Operaでのセキュリティについて」というWebページに,「Opera 6.01,6.02においてローカルファイルが読みとれる問題 Windows(all)」と,「Operaにおいて悪意を持ったJava ScriptによりセッションID,Cookieが不正取得される問題 Windows(all)」として,アナウンスされている。

 しかしながら,あくまでも“日本語版サイトにて特別に追加された”情報として記載されており,開発元のOpera Softwareのサイトには同様の情報はない。そのため,Operaに関する根本的なセキュリティへの取組みは疑問符が付いたままと言わざるを得ない。Operaのセキュリティについては,今後もフォローしていきたい。

IEユーザーは設定変更を

 一方,IE 5.5/6 にはセキュリティ・ホールが見つかっている。原因は,IEが備えるGopherのクライアント機能の不具合である(関連記事)。セキュリティ・ホールを悪用されると,ユーザーのパソコン上で任意のコード(プログラム)を実行させられる可能性がある。

 深刻なセキュリティ・ホールではあるが,パッチは未公開である。そのため,IEの設定を変更して回避する必要がある。設定変更の詳細については,関連記事の情報を参考にしてほしい。

【6月12日IT Pro追記】マイクロソフトから6月12日,このセキュリティ・ホールに関する情報が公開された。同情報によれば,IEだけではなく,ISA Server 2000やProxy Server 2.0も影響を受ける。パッチは現在準備中だが,回避方法が記載されている。

「今週のSecurity Check [Windows編]」の構成

 先々週ならびに先週起きた,セキュリティに関する注目すべきトピックスは以上である。以降は“いつものように”,上記以外のWindows関連のセキュリティ・トピックスを整理して解説したい。しかしその前に,「今週のSecurity Check [Windows編]」の構成について,簡単に説明させていただく。

 このコラムに対して,最近読者から「タイトルと内容の後半部に脈絡がない」というコメントが寄せられている。確かに,通常の記事と同じように読むと,そのような感想を抱くのは無理からぬことだろう。

 既にご存知の読者も多いだろうが,「今週のSecurity Check [Windows編]」では,他の記事とは少し異なる構成を採っている。連載開始以来このコラムでは,前半は注目すべきトピックスを解説し,後半ではWindowsに関するその他のセキュリティ情報を解説する構成を採ってきた。そして,コラムのタイトルには,前半部の内容に対するものを付けるようにしてきた。

 というのも,後半部も含めてタイトルに付けるとすると,毎回「(注目すべき内容に対するタイトル)と今週のWindowsに関するセキュリティ・トピックス」といった,非常に長いタイトルになってしまうからだ。

 今後も,この構成およびタイトルで続けていきたいと考えている。「今週のSecurity Check [Windows編]」は他の記事とは異なり,上記のような構成であることをご理解いただきたい。「今週のSecurity Check [Windows編]」では,特にタイトルに書いていなくても,Windowsに関するセキュリティ・トピックスについて重要なものをピックアップして,毎回必ず解説していく。

NET Framework と Exchange 2000 の管理者は対策を

 それでは,前半部の“注目すべきトピックス”以外の,Windows関連のセキュリティ情報を(2002年6月8日時点分)を,各プロダクトごとに整理してそれぞれ解説する。

 各種サーバー・アプリケーション関連では,「マイクロソフト セキュリティ情報一覧」にて,新規日本語情報およびパッチが2件公開された。

(1)ASP.NET ワーカー プロセスに未チェックのバッファが含まれる (Q322289) (MS02-026)

 2002年3月にリリースされたばかりのNET Framework 1.0において,セキュリティ・ホールが見つかった。IIS 5.0 以上でASP.NET アプリケーションを実行している場合,攻撃者からDoS(サービス妨害)攻撃を受けたり,任意のコードを実行されたりする可能性がある。

 今回のセキュリティ・ホールは,「StateServerモード」において Cookie のプロセスを処理するルーチンの1つに,未チェックのバッファが存在することが原因である。StateServerモードとは,セッション状態の情報を保存する管理モードのこと。

 対策は,既に公開されている日本語版パッチを適用すること。対象システムの管理者は,速やかにパッチを適用しよう(関連記事)。パッチを適用するには,Microsoft .NET Framework Service Pack 1 を適用しておく必要がある。

 ただし,実際に影響を受けるケースは少ないと考えられる。というのも,StateServer モードは ASP.NET のデフォルトのモードではないことに加えて,StateServer モードを使用する ASP.NET アプリケーションでも,Cookie を使用しない場合には影響を受けないからだ。

 なお,このレポートが公開された翌日に,「警告」の欄にて重要な情報が追加されているので注意しよう。具体的には,「Visual Studio .net を実行した状態で MS02-026 の修正パッチを適用した場合,新しいファイルに置き換えることを失敗して,システムが不安定になる可能性がある」という情報が追加された。MS02-026 の修正パッチを適用する場合は,Visual Studio .net を必ず終了してから適用するようにしたい。

(2)不正なメール属性により Exchange 2000 が CPU リソースを使い果たす (Q320436) (MS02-025)

 Exchange 2000に見つかった,DoS攻撃を受ける恐れがあるセキュリティ・ホールだ(関連記事)。Exchange 2000 には,電子メールのある不正な RFC メッセージ属性を処理する方法に問題がある。そのため,不正な RFC メッセージ属性を含むメールを受信し処理すると,サーバー・マシンのCPU リソースをすべて消費してしまい,その処理以外のサービスを提供できなくなる。

 この状況は,Exchange ストア サービスがその不正なメッセージの処理を完了するまで継続し,サービスまたはサーバーを再起動しても,DoS状況から回復できない。そのため,セキュリティ・ホールの最大深刻度は「高」に設定されている。

 対策はパッチを適用すること。日本語版パッチも既に公開されているので,対象システムの管理者は速やかに適用しよう。パッチの適用条件は,Exchange 2000 Service Pack 2 を適用済みであること。

「Windows Debugger」問題を解消するNEC PC-9800用パッチ

 各種OS関連では,「マイクロソフト セキュリティ情報一覧」にて,新規パッチが1件公開された。

Windows Debugger の認証問題により,アクセス権が昇格する (Q320206) (MS02-024)

 前回のコラムで紹介した上記セキュリティ・ホールを修正する,NEC PC-9800 シリーズ用Windows NT 4.0の日本語版パッチが公開された。最大深刻度が「高」のセキュリティ・ホールなので,対象システムのユーザーは速やかにパッチを適用しよう。

 なお,当初「MS02-024」用のパッチは,Windows 2000 Service Pack 4 に含まれる予定だった。そのため,修正パッチのファイル名には「SP4」という文字列が含まれている。しかしながら,問題の重要性が考慮され,急きょ Windows 2000 Service Pack 3 に含まれることになった。Windows 2000 Service Pack 3は今年の夏に公開される予定だ。

5月のサマリー情報が公開

 「TechNet Online セキュリティ」では,「2002 年 5 月 セキュリティ 警告サービス 月刊サマリー」という,月例のドキュメントが公開された。毎月のセキュリティ情報を「新着情報」と「更新情報」に分類してまとめた“月刊サマリー”の5月版である。時間がある時にでも,目を通して確認しておこう。

 なお,今回の月刊サマリーには,2002年6月18日に開催予定の「第一回 STPP セキュリティ対策セミナー」についての情報も記載されている。このセミナーは,マイクロソフトが進めている 「STPP(ストラテジック テクノロジー プロテクション プログラム)」の一環として,セキュリティ対策の重要性を広くうったえることを目的に無償で開催される。セッションによっては,まだ定員に達していないようなので,興味があるユーザーはチェックしよう。



マイクロソフト セキュリティ情報一覧

『Microsoft .NET Framework』
ASP.NET ワーカー プロセスに未チェックのバッファが含まれる (Q322289) (MS02-026)
 (2002年 6月 8日:「警告」の欄にて修正パッチ適用時の問題に関する説明追加,最大深刻度 : 中)
 (2002年 6月 7日:日本語情報および日本語版パッチ公開,最大深刻度 : 中)

『Exchange 2000』
不正なメール属性により Exchange 2000 が CPU リソースを使い果たす (Q320436) (MS02-025)
 (2002年 5月30日:日本語情報および日本語版パッチ公開,最大深刻度 : 高)

『Windows NT 4.0/2000』』
Windows Debugger の認証問題により,アクセス権が昇格する (Q320206) (MS02-024)
 (2002年 5月30日:Windows NT 4.0 の NEC PC-9800 シリーズ用日本語版修正パッチ公開,最大深刻度 : 高)

TechNet Online セキュリティ

2002 年 5 月 セキュリティ 警告サービス 月刊サマリー (2002年 6月 5日)

山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yama@bears.ad.jp

 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)