現在地 HOME > 掲示板 > IT4 > 306.html ★阿修羅♪ |
|
(回答先: Windows 2000/XPにまたもや“超特大”級のセキュリティ・ホール,早急に対策を 投稿者 小耳 日時 2003 年 11 月 12 日 13:35:14)
IEに「緊急」のセキュリティ・ホール,マイクロソフトは累積パッチを公開
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20031112/136355/
マイクロソフトは11月12日,Internet Explorer(IE)に見つかった5つのセキュリティ・ホールを公開した。IEのすべてのバ
ージョン(5.01/5.5/6)が影響を受ける。最大深刻度は最悪の「緊急」。最も危険なセキュリティ・ホールを悪用されると,
WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行される恐れがある。対策はパッチを適用すること。
「Windows Update」やセキュリティ情報のページから適用できる。なお,今回公開されたパッチは,過去に公開されたIEのパ
ッチをすべて含む“累積パッチ”である。
今回公開されたセキュリティ・ホールは以下の5種類。
(1)ExecCommand のクロス・ドメインのぜい弱性
(2)関数ポインタ上書きのクロス・ドメインのぜい弱性
(3)スクリプト URL のクロス・ドメインのぜい弱性
(4)XML オブジェクトのぜい弱性
(5)ドラッグ・アンド・ドロップの操作のぜい弱性
これらのうち,(1)から(3)までの「クロス・ドメインのぜい弱性」について,IE 5.01/5.5/6 における深刻度は最悪の
「緊急」である。WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行させられる恐れがある。なお,IE 6 SP1
for Windows Server 2003については,初期設定のままでは影響を受けないので,深刻度は下から2番目(上から3番目)の「警
告」に設定されている。
「クロス・ドメインのぜい弱性」を検証するためのプログラム(Exploit)は,今回のマイクロソフトの公表に先駆けて,セキュ
リティ関連のメーリング・リストなどで既に公開されている。そのプログラムを含むHTMLファイルを,今回公開されたパッチを
適用する前のIEで読む込むと,マシン中のメモ帳(Notepad.exe)が無害の別のファイルに置き換えられる。この際,ユーザーに
対して警告などは一切表示されない。これを“応用”すれば,ウイルスなどをユーザーに送り込み,実行させることが可能とな
る。そのようなプログラムが出回る前に,早急に対策を施 す必要がある。
(4)「XML オブジェクトのぜい弱性」を悪用されれば,WebページやHTMLメールを閲覧しただけで,パソコン内のファイル
を読み取られる恐れがある。(5)「ドラッグ・アンド・ドロップの操作のぜい弱性」を悪用されれば,WebページやHTMLメー
ル中のリンクをクリックしただけで,任意のプログラムをパソコンに保存させられる恐れがある。この際,IEは警告を表示しな
い。
ただし,(4)ではファイルを読み取られるだけである。また,読み取られる前には警告(ダイアログ)が表示される。その際
ユーザーが「いいえ」を選択すれば被害に遭わない。また,(5)ではプログラムを保存させられるだけで,実行させられること
はない。このため,(1)から(3)までに比較すれば,(4)と(5)の危険度は低い。
実際,(4)の深刻度は,IE 5.5/6では下から2番目の「警告」,IE 6SP1 for Windows Server 2003では一番下(上から4番
目)の「注意」に設定されている。IE 5.01は影響を受けない。(5)の深刻度は,IE 5.01/5.5/6では上から2番目の「重要」,
IE 6 SP1 for Windows Server 2003では「警告」に設定されている。
対策はパッチを適用すること。Windows Updateから適用できるとともに,セキュリティ情報のページからも入手できる。パ
ッチの適用対象 は,IE 6,IE6 SP1,IE6 SP1 for Windows Server 2003,IE 5.5 SP2,IE 5.01 SP2/SP3/SP4。なお,今回の
パッチには,過去に公開された IEに関するパッチがすべて含まれている。
過去に公開されたIEの累積パッチ同様,今回のパッチを適用すると, HTMLヘルプ機能のいくつかを使用できなくなる。「マ
イクロソフト サポート技術情報 811630」に記載されているように,Windows Updateから「811630 : 重要な更新」を適用すれ
ば,パッチ適用後も HTMLヘルプ機能を使用できる。
(1)から(3)の「クロス・ドメインの脆弱性」については,Windowsに含まれるActiveXコントロール「ADODB.Stream」が
原因である。このため,パッチをすぐに適用できない環境では,ADODB.Stream に「Kill Bit」を設定して,ADODB.Stream を
無効にすることが回避策の一つになる。詳細については,セキュリティ情報や「サポート技術情報 240797 Internet Explorer で
ActiveX コントロールの動作を停止する方法」を参照してほしい。
◎参考文献
◆Internet Explorer 用の累積的なセキュリティ更新 (824145)
(MS03-048)
◆2003 年 11 月のセキュリティ情報 (Windows)
(勝村 幸博=IT Pro)