現在地 HOME > 掲示板 > IT2 > 104.html ★阿修羅♪ |
|
(回答先: MS最高セキュリティ責任者の言い分は「ソフトウェアを安全にするだけでは十分でない」 投稿者 クエスチョン 日時 2003 年 9 月 21 日 08:35:22)
エンタープライズ:ニュース 2003/09/09 18:34:00 更新
IE用累積パッチの欠陥で事態は「危機的状況」【ZD Net記事】
http://www.zdnet.co.jp/enterprise/0309/09/epn10.html
マイクロソフトが先日公開したIE用の累積的なパッチは不十分なものだっ
た。セキュリティ専門家らはこの事態を深刻なものと受け止め、再修正版
公開までの間、アクティブ スクリプト機能の停止といった回避策を取る
よう呼びかけている。
マイクロソフトが8月20日に公開したInternet Explorer用の累積的なパ
ッチ(MS03-032)が不完全であり、このパッチを適用していても不正アク
セスを受ける可能性が指摘されている(別記事参照)。
この問題は、米国時間の9月7日にセキュリティ関連のメーリングリスト
に投稿されて明らかになった。
この投稿を受けてアドバイザリを公開したSecuniaによると、IE 5.01/
5.5/6で、たとえMS03-032の修正パッチを適用していても、悪意あるHTML
ファイルを通じて任意のファイルを実行されるおそれがあるという。つま
り、攻撃者が細工を施したWebサイトに不注意にアクセスしたり、HTML形
式の電子メールを開いたりすることで、任意のコードが実行されるおそれ
がある。
この問題は、セキュリティ企業の米eEye Digital Securityによって4カ
月前にマイクロソフトに報告されており、MS03-032によって修正されたは
ずだった。しかし残念ながら、マイクロソフトによるパッチの品質に関す
る検証作業は不十分だったことになる。
事態は「緊急」よりも深刻 もともとこの問題は、Webサーバから返され
たHTTPレスポンスに含まれるObject Dataタグ/Content-Type ヘッダーを、
IEが適切に取り扱わないことに起因する。
もし、WebサーバがIEに返すHTTPレスポンスに、「.html」といった拡張
子が記されていたObject Dataタグが含まれていた場合、そのURLの示す先
が、たとえ本来ならば実行されるべきでない「.hta」(HTMLアプリケーシ
ョン)といったファイルだったとしても、IEはそれを安全なものと判断し、
実行してしまう。そのうえ.hta形式のファイルには、IEが備えているセキ
ュリティゾーンの規制が適用されないという。
その上eEye Digital SecurityやSecuniaによると、このセキュリティホ
ールを悪用した実証コード(Exploit)が出回り始めているという。また
セキュリティ企業のラックは、「Download.Aduent.Trojan」のように、
MS03-032を悪用したウイルスが作成済みであることを指摘し、同種のウイ
ルスが作成される可能性に注意すべきとしている。
にもかかわらず、問題の根本的な解決策はまだない。マイクロソフトが
更新した情報によると、同社は、問題を修正した「更新版修正プログラム」
を公開する計画というが、具体的な日時は不明だ。
eEye Digital Securityの鵜飼裕司氏はZDNetからのメールに対し、「既
にexploitが公開されているが、問題を根本的に解決するパッチはまだリ
リースされていない。しかも、この問題は極めて簡単に悪用が可能であり、
攻撃に深い技術力は必要ない。事態は非常に危機的状況であると言える」
と警告し、さらに、「仮に『緊急』よりも深刻なレベルが存在するとすれ
ばそれに該当する」と付け加えている。
不用意なWebアクセスには注意を 一連の状況を踏まえれば、マイクロソ
フトが再修正版パッチを公開するまでの間、何らかの回避策を取ることが
望ましい。
1つは、問題を指摘したmalware.comが言うように、IEのアクティブ ス
クリプト機能を停止することだ。同様に、IEの「ActiveX コントロールと
プラグインの実行」を無効にすることでも問題を回避できる。いずれも、
IEの「ツール」から「インターネットオプション」を選択し、「セキュリ
ティ」タブを選ぶ。
IEの設定変更のために「インターネットオプション」を選択し「セキュリ
ティ」タブを選ぶ
さらに、「レベルのカスタマイズ」をクリックすると「セキュリティの
設定」ウィンドウが開くので、ここで設定を変更する。
「セキュリティの設定」ウィンドウで各設定を変更する
もう1つの方法はレジストリの変更である。アプリケーション上の都合
などでアクティブ スクリプト機能を停止できない場合には、こちらの方
法を取ることになるが、この作業はある程度Windowsの内容や操作に慣れ
たユーザーにお勧めしたい。具体的には、
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MIME\Database\Content Type\application/hta
のレジストリを削除する。あるいは、上記レジストリの最後の部分に含ま
れる文字列「application/hta」を「application/htaxxxhogehogexxx」と
いう具合に、ある程度長いランダムな文字列に変更することによっても、
リスクを減らすことができる。
さらに、ラックの新井悠氏は対処策として、「添付ファイルのダブルク
リックを避けるのと同様に、見知らぬ電子メールの本文に、アクセスを促
す文章とともに示されたURLをクリックすることも絶対に避けるべき。ま
たOutlook Express 6 Service Pack 1以上を利用しているならば、『メッ
セージはすべてテキスト形式で読み取る』のチェックを必ず入れておくこ
と」を挙げている。
また、セキュリティ関連メーリングリストの投稿によると、一部のウイ
ルス対策ソフトウェアで、このセキュリティホールを悪用したコードをブ
ロックできたとの報告も見られる。ウイルス対策ソフトを過信しすぎるの
も問題だが、改めて定義ファイルを最新のものにアップデートしておくの
が望ましい。また、もし導入済みであれば、パーソナルファイアウォール
機能が適切に設定されているかどうかを確認しておくと、リスクはより小
さくなるだろう。
ちなみにMS03-032に関しては、他にも不具合が報告されている。
Windows XPと「Microsoft ASP.NET 1.0」の組み合わせがそれで、この環
境でMS03-032を適用すると、その後ASP.NETで「サーバー アプリケーショ
ンは現在使用できません」というエラーメッセージが表示されてしまう。
マイクロソフトではサポート情報を公開し、回避策を紹介しているが、こ
のエラーも「更新版修正プログラム」で修正される予定という。
関連記事
IEの累積パッチは「不十分」の指摘
IEとWindowsにまたも深刻なセキュリティホール
関連リンク
Secunia:Special Update: Microsoft Internet Explorer Multiple Vulnerabilities
GreyMagic Software:GreyMagic Security Advisory GM#001-IE
[高橋睦美,ZDNet/JAPAN]