★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 305.html
 ★阿修羅♪
次へ 前へ
Re: Windows 2000/XPにまたもや“超特大”級のセキュリティ・ホール,早急に対策を
http://www.asyura2.com/0311/it04/msg/305.html
投稿者 小耳 日時 2003 年 11 月 12 日 13:42:14:1UddCTsVwSrOw

(回答先: Windows 2000/XPにまたもや“超特大”級のセキュリティ・ホール,早急に対策を 投稿者 小耳 日時 2003 年 11 月 12 日 13:35:14)

IEに「緊急」のセキュリティ・ホール,マイクロソフトは累積パッチを公開
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20031112/136355/

 マイクロソフトは11月12日,Internet Explorer(IE)に見つかった5つのセキュリティ・ホールを公開した。IEのすべてのバージョン(5.01/5.5/6)が影響を受ける。最大深刻度は最悪の「緊急」。最も危険なセキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行される恐れがある。対策はパッチを適用すること。「Windows Update」やセキュリティ情報のページから適用できる。なお,今回公開されたパッチは,過去に公開されたIEのパッチをすべて含む“累積パッチ”である。

 今回公開されたセキュリティ・ホールは以下の5種類。

(1)ExecCommand のクロス・ドメインのぜい弱性
(2)関数ポインタ上書きのクロス・ドメインのぜい弱性
(3)スクリプト URL のクロス・ドメインのぜい弱性
(4)XML オブジェクトのぜい弱性
(5)ドラッグ・アンド・ドロップの操作のぜい弱性

 これらのうち,(1)から(3)までの「クロス・ドメインのぜい弱性」について,IE 5.01/5.5/6 における深刻度は最悪の「緊急」である。WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行させられる恐れがある。なお,IE 6 SP1 for Windows Server 2003については,初期設定のままでは影響を受けないので,深刻度は下から2番目(上から3番目)の「警告」に設定されている。

「クロス・ドメインのぜい弱性」を検証するためのプログラム(Exploit)は,今回のマイクロソフトの公表に先駆けて,セキュリティ関連のメーリング・リストなどで既に公開されている。そのプログラムを含むHTMLファイルを,今回公開されたパッチを適用する前のIEで読む込むと,マシン中のメモ帳(Notepad.exe)が無害の別のファイルに置き換えられる。この際,ユーザーに対して警告などは一切表示されない。これを“応用”すれば,ウイルスなどをユーザーに送り込み,実行させることが可能となる。そのようなプログラムが出回る前に,早急に対策を施 す必要がある。

(4)「XML オブジェクトのぜい弱性」を悪用されれば,WebページやHTMLメールを閲覧しただけで,パソコン内のファイルを読み取られる恐れがある。(5)「ドラッグ・アンド・ドロップの操作のぜい弱性」を悪用されれば,WebページやHTMLメール中のリンクをクリックしただけで,任意のプログラムをパソコンに保存させられる恐れがある。この際,IEは警告を表示しない。

 ただし,(4)ではファイルを読み取られるだけである。また,読み取られる前には警告(ダイアログ)が表示される。その際ユーザーが「いいえ」を選択すれば被害に遭わない。また,(5)ではプログラムを保存させられるだけで,実行させられることはない。このため,(1)から(3)までに比較すれば,(4)と(5)の危険度は低い。

 実際,(4)の深刻度は,IE 5.5/6では下から2番目の「警告」,IE 6SP1 for Windows Server 2003では一番下(上から4番目)の「注意」に設定されている。IE 5.01は影響を受けない。(5)の深刻度は,IE 5.01/5.5/6では上から2番目の「重要」,IE 6 SP1 for Windows Server 2003では「警告」に設定されている。

 対策はパッチを適用すること。Windows Updateから適用できるとともに,セキュリティ情報のページからも入手できる。パッチの適用対象 は,IE 6,IE6 SP1,IE6 SP1 for Windows Server 2003,IE 5.5 SP2,IE 5.01 SP2/SP3/SP4。なお,今回のパッチには,過去に公開された IEに関するパッチがすべて含まれている。

 過去に公開されたIEの累積パッチ同様,今回のパッチを適用すると, HTMLヘルプ機能のいくつかを使用できなくなる。「マイクロソフト サポート技術情報 811630」に記載されているように,Windows Updateから「811630 : 重要な更新」を適用すれば,パッチ適用後も HTMLヘルプ機能を使用できる。

(1)から(3)の「クロス・ドメインの脆弱性」については,Windowsに含まれるActiveXコントロール「ADODB.Stream」が原因である。このため,パッチをすぐに適用できない環境では,ADODB.Stream に「Kill Bit」を設定して,ADODB.Stream を無効にすることが回避策の一つになる。詳細については,セキュリティ情報や「サポート技術情報 240797 Internet Explorer で ActiveX コントロールの動作を停止する方法」を参照してほしい。

◎参考文献
◆Internet Explorer 用の累積的なセキュリティ更新 (824145)
(MS03-048)

◆2003 年 11 月のセキュリティ情報 (Windows)

(勝村 幸博=IT Pro)

 次へ  前へ

IT4掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。