• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

IEの新しい累積パッチにはいくつかの注意点,既に適用したユーザーも再確認を

既知のホールを解消できるものの不完全,ブラウザ・クラッシャは回避できない

山下眞一郎 2003/06/18 ITpro

 Internet Explorer(IE)のセキュリティ・ホールを修正する,新しい累積パッチがまたもや公開された。今回のパッチで修正されるセキュリティ・ホールの一つは既に広く知られているものであり,しかもパッチは万全ではない。加えて,誤って過去の累積パッチを適用すると,セキュリティ・ホールが“再発”する恐れがある。また,Windows 2003用に公開された最初のセキュリティ・パッチでもある。既にパッチを適用済みのユーザーも改めて確認してほしい。

今年3件目のIE用累積パッチ

 マイクロソフトは6月5日,IEに見つかった新しいセキュリティ・ホールとその修正パッチを公開した(関連記事)。

Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)

 今回公開されたパッチは,新規のセキュリティ・ホールをふさぐだけではなく,今までに公開されたIE用のパッチを含む累積パッチである。2003年になってから公開されたIE用の累積パッチは,2月6日に公開された「MS03-004」,4月24日に公開された「MS03-015」に次いで3件目となる。

 新規に公開されたセキュリティ・ホールは,「オブジェクト・タグの脆弱性」と「ファイルのダウンロード・ダイアログの脆弱性」の2種類。影響を受けるのは,IE 5.01/5.5/6/6 for Windows Server 2003。すなわち,現在サポート対象となっているすべてのIEが影響を受ける。セキュリティ・ホールを悪用されると,細工が施されたWebページやHTMLメールを閲覧するだけで,任意のコード(プログラム)を実行させられる恐れがある。

 「オブジェクト・タグの脆弱性」は,Web サーバーから返されるオブジェクトの種類を,IEが適切に判断しないことが原因である。その結果,バッファ・オーバーランを発生させられ,任意のコードを実行させられる恐れがある。「ファイルのダウンロード・ダイアログの脆弱性」は,ファイルのダウンロード・ダイアログ・ボックスを表示する際に,IEが適切な“遮断”を行えないことが原因である。その結果,HTMLファイル中で指定されたファイルをユーザーの許可なしに実行させられる恐れがある。

 対策は,もちろんパッチを適用すること。任意のコード(プログラム)を実行させられ,最悪システムを乗っ取られる恐れもある危険なセキュリティ・ホールなので,速やかにパッチを適用する必要がある。セキュリティ・ホールの最大深刻度は「緊急」である。

 なお,今回のパッチを適用すると,HTMLヘルプ機能のいくつかが使用できなくなるので,注意が必要である。詳細はセキュリティ情報をチェックしてほしい。

ホールは周知されていて,パッチは不完全

 さて,いつもならば「とにかくパッチを適用すればよい」として,話は終了である。しかしながら,今回のセキュリティ・ホールおよびパッチにはいくつか注意すべき点がある。

 まず,今回のセキュリティ・ホールについて,セキュリティ情報の「謝辞」の項には,米eEye Digital Securityの記載があることから,同社から米Microsoftに事前報告や協力があったことが分かるものの,今回公開されたセキュリティ・ホールの一つは,既に広く知れわたっていることに注意しなくてはならない。

 新規に公開されたセキュリティ・ホールの一つである「ファイルのダウンロード・ダイアログの脆弱性」については,前々回の記事で紹介したように,「Bugtraq」や「NTBugtraq」といったセキュリティ関連メーリング・リストにおいて,具体的な内容および“利用例”が公開されている。例えば,iframeタグを使って,容易に悪用することが可能である。IEでスクリプトを無効にしていても,あるファイルを指定したiframeタグが多数記述されていると,IEがハングアップすると同時に(いわゆる“ブラウザ・クラッシャ”である),指定されたファイルが勝手にダウンロードされて実行されてしまう恐れがある(関連記事)。

 今回のパッチを適用すれば,勝手にファイルが実行されてしまうという“最悪のシナリオ”は防げる。しかし,IEのプロセスがハングアップしてしまうことは防げない。つまり,ブラウザ・クラッシャとしてのアタックは“有効”なのである。今回公開されたパッチは不完全といえるだろう。

 同時に表示するダイアログ・ボックスの数を制限するなどすれば,ブラウザ・クラッシャとしてのアタックも防げるはずだ。こうした基本的なアタックも漏れなく防止できるような,完全な対応を望みたい。

昔のパッチ適用で穴があく

 今回のパッチは不完全なばかりではなく,別の注意点もある。セキュリティ情報のレポートには記載されていないものの,Windows 2000 または Windows XP において,今回の累積パッチ「MS03-020」を適用した後,以前の累積パッチ「MS03-015」を適用すると,「MS03-020」で更新されたファイルが「MS03-015」に含まれる古いファイルに置き換えられてしまう。つまり,セキュリティ・ホールが再び開いてしまうのだ。

 再度「MS03-020」を適用すれば元に戻るので,それほどクリティカルな問題ではない。また,「古いパッチを適用してしまうユーザーの不注意」といえないこともない。しかしながら,そもそもこうした誤ったパッチ適用を許してしまうことが,根本的な問題ではないだろうか。めったにあることではないが,ユーザーは注意しよう。マイクロソフトには,誤ったパッチ適用を許さないような仕組みやパッチ作りをお願いしたい。

 なおこの問題は,「サポート技術情報 (KB) 文書番号 : 818529 [IE] [MS03-020] Internet Explorer 用の累積的な修正プログラム (2003 年 6 月)」に詳しく記載されているので参考にしてほしい。

Windows Server 2003用の初めてのパッチ

 今回の「MS03-020」には,もう一つ特記事項がある。まだ市場に出ていない「Windows Server 2003 日本語版」用のパッチが公開されたのだ。Windows Server 2003 日本語版は,6月25日より出荷開始される予定である。今回の修正パッチがWindows Server 2003に適用する初めてのパッチとなる(関連記事)。

 満を持して登場したはずのWindows Server 2003に,さっそくセキュリティ・ホールが見つかってたのはお寒い限りだが,Windows Server 2003を導入する予定のユーザーは注意しておこう。

 ただし, Microsoftとしては,今回のパッチはWindows Server 2003用の修正パッチとは考えていないようだ。というのも,Microsoftが提供するパッチ検索サービス「Hotfix and Security Bulletins Search」における「Product/Technology」をみると,今回のパッチはあくまで「Internet Explorer 6 for Windows Server 2003」用の修正パッチとしており,「Windows Server 2003」用の修正パッチとはしていない。

 なお,ほかのIEについては深刻度が最悪の「緊急」であるのに対して,IE6 for Windows Server 2003については,上から3番目(下から2番目)の「警告」に設定している。Windows Server 2003 上の IE6 は,デフォルトで「セキュリティ強化の構成」という制限されたモードで実行されるために,デフォルトでは今回のセキュリティ・ホールの影響を受けないからだ。詳細については,「セキュリティ情報 (MS03-020) : よく寄せられる質問」の「Windows Server 2003 で Internet Explorer を実行しています。これらの脆弱性の影響は緩和されますか?」「Windows Server 2003 で,その他に Internet Explorer のセキュリティ強化の構成が無効にされる構成はありますか?」の項を参考にしてほしい。

 余談ではあるが,「MS03-020」のセキュリティ情報には,「MBSA(Microsoft Baseline Security Analyzer)」バージョン 1.1.1 (英語版) が,Windows Server 2003 を追加サポートすることが記載されている。MBSAは「HFNetChk」ツールの技術を利用してセキュリティ・パッチの適用状況を検査するGUIツールである。ただし,MBSA の日本語版は現在開発中である。MBSAはとても有用なツールなので,できるだけ早く日本語版を公開してもらいたいものだ。公開されれば,このコラムでも紹介する予定だ。

XP用パッケージのトラブルが解消

 それでは次に,上記以外のWindows関連セキュリティ・トピックス(2003年6月14日時点分)を,各プロダクトごとに整理して解説する。

 前回の記事において,5月29日に「818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できない」というトラブルが「トラブル・メンテナンス速報」でアナウンスされたことを紹介した。

 具体的には,Windows Update サイトから「L2TP/IPSec NAT-T Update for Windows XP and Windows 2000」を適用したWindows XPマシンが,ネットワークに接続できなくなるというトラブルである。Windows 2000 Professionalは影響を受けない。

 「トラブル・メンテナンス速報」の情報が6月9日に更新され,「本現象を修正いたしましたことをお知らせいたします」という一文が加わった。このことから,トラブルを修正した「L2TP/IPSec NAT-T Update」が公開されたと考えられる。「L2TP/IPSec NAT-T Update」とは,レイヤ 2 トンネリング・プロトコル (L2TP) およびインターネット・プロトコル・セキュリティ (IPSec) の機能を強化する更新パッケージのこと。適用すると,例えば,Windows 2000/XPに含まれるL2TP/IPSec クライアントが NAT サーバーを越えて IPSec 接続できるようになる。

 なお余談になるが,「トラブル・メンテナンス速報」のレイアウトは何度も変更されているが,現在のレイアウトが最も分かりやすいと筆者は思う。「トラブル情報」「お知らせ・メンテナンス情報」「解決済みのトラブル情報」の3種類に情報が区別され,それぞれのアイコン付きで表示されている。

 あとは,過去のトラブル・メンテナンス一覧が用意されれば,万全といえるだろう。これについては,このコラムで何度もお願いしていることだ。ぜひ実現してもらいたい。

Bugbearの亜種が猛威

 「TechNet Online セキュリティ」では,「Bugbear に関する情報」が更新されるとともに,「マイクロソフト プロダクト セキュリティ警告サービス 2003 年 5 月」というレポートが新規に公開された。

 「Bugbear に関する情報」は,当初2002年10月1日に公開されたものの,2003年6月に入ってその亜種が急速に広がり始めたために,2003年6月6日に更新された(関連記事)。「マイクロソフト セキュリティ情報センターのご案内」では更新したことを紹介しているものの,「TechNet Online セキュリティ」では全く触れていない。気づきにくいので注意しよう。マイクロソフトには,こういった情報はどこのページからでも分かるようにしてもらい。

 「マイクロソフト プロダクト セキュリティ警告サービス 2003 年 5 月」は,5月中に公開されたセキュリティ情報をまとめた月例ドキュメントである。特に目新しい情報はないので,時間があるときにでもチェックする程度でよいだろう。

パッチの期限切れとVMのアンインストール・ツール

 マイクロソフトのサイトには掲載されていないが,気になるニュースが2件飛び込んできた。1件目は,Windows 98/Me/NT Workstation 4.0に関して,セキュリティ・パッチの提供期限が明確にアナウンスされたということ。詳細は,関連記事である「Windows98は来年1月,Meは来年末でセキュリティ修正打ち切り」を確認していただきたい。

 もう1件は,Microsoft VMのアンインストールに関するニュースである。Microsoft VMには,2004年1月以降修正パッチが提供されないことが決定している。そのMicrosoft VMをアンインストールする手段を提供する準備があると,マイクロソフトがアナウンスした(関連記事)。

 これはまさに,過去の記事で筆者が希望したことである。ぜひ実現していただきたい。

Opera 7.11 for Windows日本語版登場

 最後に,Webブラウザ「Opera」の話題に触れて筆を置きたい。ノルウェーOpera Softwareは現地時間6月11日,Operaブラウザの最新版「Opera 7.11 for Windows」の日本語版を公開した(関連記事)。現在は,Operaの国内販売元であるトランスウエアのサイトからもダウンロードできる。なお,英語版は現地時間5月12日に公開された。

 最新版では,「任意のスクリプトを実行されるセキュリティ・ホール」と「サービス拒否攻撃を受けるセキュリティ・ホール」のセキュリティ・ホールが解消されている。Operaユーザーは必ずアップデートしよう。



マイクロソフト セキュリティ情報一覧

『Internet Information Server 4.0,Internet Information Services 5.0/ 5.1』
Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)
 (2003年 6月 5日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)

TechNet Online セキュリティ

Bugbear に関する情報

マイクロソフト プロダクト セキュリティ警告サービス 2003 年 5 月


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【情総研レポート】

    IT業界が期待する新たな営業手法、インサイドセールス

     勤務先に名前も聞いたことのない会社から電話が入る。出てみるとマンションなどの不動産投資の勧誘だった──。 電話で営業というと、あまり良いイメージがないのは筆者だけではないだろう。だが、こうした手法が姿を変え、今や米国で営業の代表的手段となった。それが「インサイドセールス」だ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る