マイクロソフトは11月12日,5件のセキュリティ情報とパッチをまとめて公開した。そのうち,Internet Explorer(IE)に関するセキュリティ・ホール「MS03-048」のパッチには,いくつか問題が見つかっている。さらに,IEには「MS03-048」のパッチを適用してもふさげないセキュリティ・ホールが複数公開されている。このコラムで何度か書いていることだが,何も考えずにIEを使い続けるのはやめよう。
今回の記事では,「MS03-048」のパッチに見つかった問題や,パッチが未対応のIEの新しいセキュリティ・ホールを解説する。加えて,他のブラウザの現状やブラウザの使い分けについても説明する。漫然とIEを使い続けているユーザーは,これを機に考え直していただきたい。デフォルト設定のIEを使用し続けることは,それだけでリスクを負っている。
IEに緊急のセキュリティ・ホール
マイクロソフトが11月12日に公開したセキュリティ・ホールのうち,3件が深刻度が最悪の「緊急」レベルだった。そのうち1件は,前回の記事で解説したように,Windows 2000/XPが影響を受ける“超特大”のセキュリティ・ホールだった。
IEについても,緊急のセキュリティ・ホール「MS03-048」が公開されている(関連記事)。
Explorer 用の累積的なセキュリティ更新 (824145) (MS03-048)
11月12日の公開以降,いくつかのパッチに問題があることが明らかとなっている。なかでも,この「MS03-048」についてはさまざまな問題が見つかっていて,原稿執筆時点(11月30日)でセキュリティ情報が4回更新されている。
「MS03-048」に見つかった問題点を解説する前に,まずはこのセキュリティ・ホールの概要を紹介する。
「MS03-048」には,5つの新しいセキュリティ・ホールが含まれる。
(1)ExecCommand のクロス ドメインの脆弱性
(2)関数ポインタ上書きのクロス ドメインの脆弱性
(3)スクリプト URL のクロス ドメインの脆弱性
(4)XML オブジェクトの脆弱性
(5)ドラッグ アンド ドロップの操作の脆弱性
影響を受けるのは,IE 5.01/5.5/6。セキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,悪意があるコードを実行させられる恐れがある。デフォルト設定で影響を受けるので,深刻度は最悪の「緊急」に設定されている。
ただし,Windows Server 2003 の IE6 は「セキュリティ強化の構成」なので,デフォルトでは影響を受けない。このためWindows Server 2003においては,最大深刻度が上から3番目(下から2番目)の「警告」に設定されている。
対策はパッチを適用すること。今回公開されたパッチは,IEに関する過去のパッチを含む“累積”パッチである。上の5つの新しいセキュリティ・ホールだけではなく,過去に公開されたセキュリティ・ホールもふさげる。なお,過去に公開された累積パッチ(例えば,「MS03-004」「MS03-015」「MS03-020」「MS03-032」「MS03-040」)同様,適用すると「HTML ヘルプ機能」を使用できなくなるなどの注意点がある。注意点については,セキュリティ情報を参照してほしい。
パッチを適用できない環境では回避策を実施する。回避策としては,IEにおいて「インターネットおよびイントラネット ゾーンで ActiveX コントロールを無効にする」ことが最も確実だ。この設定は,以前の記事で紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含まれる設定だ。メールを使った攻撃を回避するには,OutlookやOutlook Expressにおいては,HTMLメールをテキストとして表示する設定にしておく。この設定にしておけば,メールを読んだだけで攻撃を受けることはない。
ところが,マイクロソフトのセキュリティ情報では,回避策として「インターネットおよびイントラネット ゾーンで ActiveX コントロールを実行する前にダイアログを表示する」ことを勧めている。これは,過去の記事でも書いたように,筆者としてはお勧めできない回避策だ。というのも,ダイアログが表示されても,そのページが危険かどうかを判断することは一般的には困難だからだ。
Windows Server 2003 の「セキュリティ強化の構成」では,インターネットおよびイントラネット ゾーンで ActiveX コントロールを無効にしている。同社では,この設定がセキュリティ上望ましいと考えているからこそ,無効にしているのだろう。回避策でも「セキュリティ強化の構成」と同じように,ダイアログを表示する設定ではなく,無効にする設定を勧めてもらいたい。
ActiveX コントロールを無効にする手順は,「マイクロソフト サポート技術情報 - 154036 [IE] Internet Explorer のアクティブ コンテンツを無効にする方法」に記載されているので,こちらを参照してほしい。
トラブル続出のIEの新パッチ
それでは次に,IEの新パッチに見つかった問題を解説しよう。マイクロソフトが公開する「セキュリティ情報」の多くは,公開後必要に応じてさまざまな情報が追記される。IEの新しいセキュリティ・ホール「MS03-048」については,11月30日現在で,既に4回情報が追記されている。
まずは,「MS03-048」が公開された11月12日に,「修正プログラムが正しくインストールされたかどうか確認する方法」が修正された。パッチが適用できたかどうかは,レジストリ・キーを確認すれば分かる。そのレジストリ・キーの情報が,公開当初は誤っていた。それが修正されたのである。
11月13日には,「よく寄せられる質問」に,IE 5.01 SP3 用パッチとWindows 98/98SEに関する説明が追加された。 11月18日には,パッチの適用後,再起動する必要性があることが追記された。
11月19日には,「よく寄せられる質問」 に「サポート技術情報 832270」に関する情報が追加された。以上4件の追記のうち,この「マイクロソフト サポート技術情報 - 832270 - スクロールバーの空白部分をクリックすると画面スクロールが正しく行われない」は,「MS03-048」のパッチの適用により発生するバグである(関連記事)。
具体的には,IEのスクロール・バーの空白部分をクリックすると,本来は1ページ分スクロールされるべきところが,2ページ分スクロールされる。サポート技術情報では,このバグの回避策として,「キーボード操作より画面スクロールをする」ことを挙げているだけで,このバグを修正する新たなパッチは公開されていない。
原稿執筆時点(11月30日)ではセキュリティ情報に記載されていないが,上記以外にも「MS03-048」のパッチを適用すると発生するバグが存在する。「マイクロソフト サポート技術情報 - 832547 - [IE] Q824145 (MS03-048) のインストール後,エクスプローラの「関連項目」のリンクが機能しない」である。
Windows 2000 に「MS03-048」のパッチを適用すると, Windows エクスプローラやマイコンピュータに表示される「関連項目」のリンク (「デスクトップ」や「マイ ドキュメント」など) が機能しなくなる。スクロールに関するバグと同様に,このバグを修正する新たなパッチは公開されていない。
パッチが存在しないIEのホール
セキュリティ・ベンダーである「Secunia」は11月25日,「MS03-048」のパッチを適用しても解消できないIEのセキュリティ・ホールの解説を公開した(関連記事)。具体的には,IE 6/5.5/5.01が影響を受ける,以下の8種類のセキュリティ・ホールである。Liu Die Yu氏が発見した。
(1)「New "Clean" IE Remote Compromise」
(2)「MHTML Redirection leads to local file parsing in INTERNET zone」
(3)「MHTML Redirection Leads to Downloading EXE and Executing」
(4)「BackToFramedJpu - a successor of BackToJpu attack」
(5)「HijackClickV2 - a successor of HijackClick attack」
(6)「Invalid ContentType may disclose cache directory」
(7)「Cache Disclosure Leads to MYCOMPUTER Zone and Remote Compromise」
(8)「IE Remote Compromise by Getting Cache Location」
これらを悪用されると,「攻撃者にシステムへのアクセスを許す」「マシン内の情報を盗まれる」「クロスサイト・スクリプティングを利用した攻撃を許す」「セキュリティ機構をバイパスされる」「悪意のあるファイルをダウンロードおよび実行させられる」――などの可能性がある。上記8種類のセキュリティ・ホールを検証するためのデモ・サイトも存在する。
過去の例から考えると,次回のセキュリティ情報の公開日である12月10日に,これらすべてを解消するパッチが公開される可能性は低い。次回以降に持ち越されるセキュリティ・ホールはあるだろう。現在ではパッチの公開は原則として1カ月に1回なので,次回以降に持ち越されると,セキュリティ・ホールの詳細が明らかでありながら,数カ月にわたって放置されることになる。
Secuniaが公開する情報「Internet Explorer System Compromise Vulnerabilities」では,回避策を2つ挙げている。まず,「アクティブ スクリプトを無効にする(Disable Active Scripting)」ことである。これも,以前の記事で紹介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含まれる設定である。この“お勧め”設定を実施していれば,セキュリティ・ホールの影響を回避できる。
もう一つが,「他のプロダクト(ブラウザ)を使用する(Use another product)」ことである。
マイクロソフトはセキュリティに力を入れて,鋭意パッチを公開をしている。しかし,新しいセキュリティ・ホールは次から次へと見つけられる。また,検証が不十分なためか,パッチにバグが見つかる場合が少なくない。セキュリティを重視すれば,Secuniaが回避策の一つとして挙げているように他のブラウザを使うこと,あるいは複数のブラウザを使い分けることを真剣に考えるべきときが来ているのではないだろうか。
セキュリティに限らず,使い勝手の点でも気になることがある。特許の問題から,使い勝手が悪い新バージョンを使用せざるを得なくなる可能性がある(関連記事)。新バージョンでは,動的コンテンツがあるたびに,Webページの読み込みを停止して確認ダイアログを表示することになる。マイクロソフトが提供する開発者向けのWebサイトでは,その新バージョンのベータ版「IE6 SP1b」の配布が始まっている。
「デフォルトで搭載されているから」という理由だけでIEを使い続けるのは,そろそろやめるべきではないだろうか。
IE以外のブラウザの現状
IEの代替となる,あるいは併用できるブラウザとしては何が考えられるだろうか。主なブラウザのセキュリティに関する現状を紹介する。
まず「Opera」については,日本語バージョンの最新版「Opera 7.22 for Windows」に関するセキュリティ情報が,「Opera セキュリティ情報」に掲載されている。
同情報では,7.22以前のすべてのバージョンが影響を受ける「特定のMIMEタイプを持つデータがユーザーに無許可でダウンロード・実行される問題」が11月20日に公開された。悪用されると,Webページを閲覧しただけで,任意のファイルをダウンロードおよび実行させられる可能性がある。
「Opera 7.23 for Windows」では解消されているが,日本語バージョンは未公開である。日本語バージョンでは設定を変更して回避する。具体的には,「設定」画面内の「ファイルタイプ」にあるMIMEタイプから,「application/x-opera-configuration-*」および「application/x-opera-skin」の動作を「Operaで開く」から「ダウンロードダイアログを表示する」に変更する。
このセキュリティ・ホールの詳細については,発見者が公開する「[Opera 7] 外部から任意のローカルファイルが作成される脆弱性」で確認してほしい。
アプリケーション・スイートである「Netscape」に含まれるNetscapeブラウザはどうだろうか。Netscapeの日本語バージョンの最新版は,2003年6月30日に公開された「Netscape 7.1」である。
Netscape 7.1の新機能は,「Netscape 7.0 - 7.1 リリース ノート」に記載されている。しかし,セキュリティ・ホールに関する情報は分からない。セキュリティ情報を公開する,「Security Center」というページは存在するものの,2002年11月19日を最後に更新が止まっているからだ。
一方,Netscape 7.1 の ベースといえるアプリケーション・スイート「Mozilla」に含まれるMozilla ブラウザでは,セキュリティ情報がきちんと更新されている。「Netscape 7.1」と同時(2003年6月30日)に公開されたMozilla ブラウザは「Mozilla 1.4」である。このため,「Mozilla 1.4」に存在するセキュリティ・ホールは,「Netscape 7.1」にも存在すると考えられるだろう。
Mozilla ブラウザのセキュリティ情報は,「Mozilla における既知の脆弱性」として公開されている。最新の情報は,11月25日に追記された「2003年11月更新」である。ここでは,「Mozilla 1.4」のセキュリティ・ホールが6件リストアップされている。
(1)「Cookie:異なるパスによってセットされた Cookie の読み取り」
(2)「メール:ディスクへのパスワード保存」
(3)「JavaScript:任意のコード実行」
(4)「ネットワーク:パスワードの読み取り」
(5)「実行ファイルの実行:Windows 上で *.hta ファイルが実行されるおそれ」
(6)「JavaScript:任意のコード実行」
(3)や(5)および(6)を悪用されると,任意のコードを実行させられる可能性がある。それぞれの回避策が同情報に記載されているので,NetscapeやMozillaのユーザーは確認してほしい。
なお,Mozillaの最新版は,10月15日公開された「Mozilla 1.5」である。Mozilla 1.5では上記6件のセキュリティ・ホールは解消されている。
Mozilla 1.5を利用する上では,いくつか注意点がある。まず,原稿執筆時点(11月30日)で,「mozilla.org 日本語版」のトップページに存在する「フリーダウンロード」のWindows版のリンクは誤っている。ダウンロード・ページに存在するリンクや,「もじら組」のトップページに存在するリンクが正しい。
【12月19日追記】12月4日に,上記のリンクの誤りは修正されている。【以上,12月19日追記】
また,上記のリンクからダウンロードした「Mozilla 1.5」は英語バージョンであり,メニューなどは英語で表示される。ただし,設定を日本語対応に変更すれば,日本語版Windowsでも問題なく利用できる。具体的には,Editメニューの「Preferences」から「Appearance」を選択し,「Fonts」を“Japanese”に変更する。併せて,Viewメニューの「Character Coding」から「Auto-Detect」の項を“Japanese”に変更すれば利用できる。
なお,デフォルト設定ではJavaが有効になっている。セキュリティの観点からは好ましくないので,Editメニューの「Preferences」の「Advanced」から「Enable Java」のチェックを外して,無効にしておこう。
現在,「Netscape」や「Mozilla」をめぐる状況は目まぐるしく変化している(関連記事)。今後サポート体制がどうなるのか分からない部分が多い。NetscapeやMozillaのユーザーは動向を注目したい。このコラムでも,適宜お知らせしたいと思う。
以上のように,IEには問題が多いものの,「IE以外のブラウザを使っていれば大丈夫」というわけではない。IE以外のブラウザを使っていても,最新の状況を継続して確認し,自分の判断で使用するブラウザを決める必要がある。
セキュリティ・リスクを減少させる方法としては,このコラムで何度も書いているように,複数のブラウザを使い分けることをお勧めしたい。筆者は,イントラネットでは“お勧め”設定を施したIE 6を使用している。イントラネットのサイトは,IE以外では動作保証していない場合が多いからだ。“お勧め”設定を施した上で,信頼済みサイト・ゾーンに自社のドメインとWindows Updateの「http://*.windowsupdate.microsoft.com」および「http://*.windowsupdate.com」を設定している。もちろん,最新のサービス・パック(SP1)とすべてのセキュリティ・パッチを適用している。インターネットでは,Java機能を無効にした「Mozilla 1.5」を使用している。
“超特大”ホールにも追加情報
前回の記事で,解説した“超特大”のセキュリティ・ホール「メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035) (MS03-043)」にも,いくつか注目すべき情報が追加されている。
まず,前回の記事に追記としてお知らせしたように,Windows XP 用パッチの問題が確認されている。当初公開されたパッチは,システム上のwkssvc.dllを修正するものの,キャッシュフォルダのwkssvc.dllを修正しなかった。この問題を解消するために,修正されたパッチを適用する必要があることがセキュリティ情報に追記された。
同じく前回の記事に追記したように,当初公開されたパッチを適用していると,新しいパッチがWindows Updateに表示されないという問題があった。その後表示されるようになったと思ったが,数日後にはまた表示されなくなった。11月30日に確認したところ,現在では古いパッチを適用していても,新しいパッチが表示されるようになっている。
加えて,セキュリティ情報の「警告」 が更新されている。具体的には,Windows NT 4.0 Workstation ベースのクライアントにパッチを適用すると,ネットワーク関連の問題が発生する可能性があることが追記された。
この問題については,「マイクロソフト サポート技術情報 - 831579 セキュリティ アップデート KB828035 のインストール後,Windows NT 4.0 クライアント コンピュータで複数のネットワーク関連の問題が発生する」に詳しく記載されている。複数の問題が報告されているが,なかには「Windows NT 4.0 ベースのドメイン コントローラが応答を停止するかクラッシュする」という致命的な現象も報告されているので注意しよう。
上記のサポート技術情報のオリジナル情報(英語)である「Knowledge Base Article ID 831579 Windows NT 4.0 Client Computers Have Multiple Network-Related Problems After You Install the KB828035 Security Update」を参照すると,米Microsoftではこの問題を解消するHotfixを提供しているという。日本語情報にはHotfixに関する記述はない。マイクロソフトでも,ぜひHotfixを提供してもらいたい。
最後に,上記以外のWindows関連セキュリティ・トピックス(2003年11月30日時点)については,各プロダクトごとにまとめたリンクを記事末に記したので,詳細についてはリンク先の情報を参照してほしい。
マイクロソフト セキュリティ情報一覧
『Internet Explorer 6/5.5/5.01』
◆Internet Explorer 用の累積的なセキュリティ更新 (824145)(MS03-048)
(2003年11月19日:「よく寄せられる質問」 にサポート技術情報 832270 を追加)
(2003年11月18日:「再起動の必要性」 の情報を更新)
(2003年11月13日:「よく寄せられる質問」に IE 5.01 SP3用パッチとWindows 98/98SEの情報を追加)
(2003年11月12日:「修正プログラムが正しくインストールされたかどうか確認する方法」 を修正)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windowsファミリ(Meを除く)』
◆メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035)(MS03-043)
(2003年11月18日:Windowx XP の 「ファイルに関する情報」 を更新)
(2003年11月17日:Windows XP 用パッチの問題を確認。新パッチの適用を推奨)
(2003年11月17日:「警告」を更新。NT 4.0 クライアントに関する情報を追加)
(2003年10月30日:Debug Programsの問題を修正したWindows 2000/XP/Server 2003 用パッチを公開)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windows 2000/XP』
◆Workstation サービスのバッファ オーバーランにより,コードが実行される (828749)(MS03-049)
(2003年11月17日:Windows 2000 の 「再起動の必要性」 の欄を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『FrontPage 2000 Server Extensions/FrontPage Server Extensions 2002』
◆Microsoft FrontPage Server Extensions のバッファ オーバーランにより,コードが実行される (813360)(MS03-051)
(2003年11月20日:セットアップ スイッチに関する情報を更新)
(2003年11月17日:「修正プログラムが正しくインストールされたかどうか確認する方法」 から不要な情報が削除)
(2003年11月17日:「回避策」の欄を更新)
(2003年11月13日:セキュリティ・ホールの悪用に関する情報を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Excel 97/2000/2002,Word 97/98/2000/2002など』
◆Microsoft Wordおよび Microsoft Excel の脆弱性により,任意のコードが実行される (831527)(MS03-050)
(2003年11月25日:「よく寄せられる質問」にExcel 97 の郵便番号変換ウィザードに関する説明を追加)
(2003年11月13日:Excel 97,Word 97/98 から Office Updateのマークを削除)
(2003年11月13日:Excel 2000/Word 2000 に関する情報を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
マイクロソフト トラブル・メンテナンス速報
◆Internet Explorer と Windows の脆弱性をねらう手口が公開されています
(更新日:2003年11月22日)
山下 眞一郎 Shinichiro Yamashita
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
