現在地 HOME > 掲示板 > IT4 > 406.html ★阿修羅♪ |
|
この記事での注目箇所は、下記。以前からこのIT板でも口を酸っぱく
して主張してきた所、
> マイクロソフトはセキュリティに力を入れて,鋭意パッチを公開をして
>いる。しかし,新しいセキュリティ・ホールは次から次へと見つけられる。
>また,検証が不十分なためか,パッチにバグが見つかる場合が少なくない。
>セキュリティを重視すれば,Secuniaが回避策の一つとして挙げているよ
>うに他のブラウザを使うこと,あるいは複数のブラウザを使い分けること
>を真剣に考えるべきときが来ているのではないだろうか。
> 「デフォルトで搭載されているから」という理由だけでIEを使い続ける
>のは,そろそろやめるべきではないだろうか。
また、他のブラウザ、OPERA、Mozillaについての説明もある。
なお、元記事には要所要所でリンクが張ってあるので、できるだけ元記
事参照乞う。
[2003/12/03]
◎IEを使い続けるリスクを再認識しよう パッチには複数の不具合,パッチ未公開のセキュリティ・ホールが続出【ITPro 記事】
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20031202/1/
今週のSecurity Check [Windows編] (第108回,2003年12月3日)
マイクロソフトは11月12日,5件のセキュリティ情報とパッチをまとめ
て公開した。そのうち,Internet Explorer(IE)に関するセキュリティ
・ホール「MS03-048」のパッチには,いくつか問題が見つかっている。さ
らに,IEには「MS03-048」のパッチを適用してもふさげないセキュリティ
・ホールが複数公開されている。このコラムで何度か書いていることだが,
何も考えずにIEを使い続けるのはやめよう。
今回の記事では,「MS03-048」のパッチに見つかった問題や,パッチが
未対応のIEの新しいセキュリティ・ホールを解説する。加えて,他のブラ
ウザの現状やブラウザの使い分けについても説明する。漫然とIEを使い続
けているユーザーは,これを機に考え直していただきたい。デフォルト設
定のIEを使用し続けることは,それだけでリスクを負っている。
IEに緊急のセキュリティ・ホール
マイクロソフトが11月12日に公開したセキュリティ・ホールのうち,3
件が深刻度が最悪の「緊急」レベルだった。そのうち1件は,前回の記事
で解説したように,Windows 2000/XPが影響を受ける“超特大”のセキュ
リティ・ホールだった。
IEについても,緊急のセキュリティ・ホール「MS03-048」が公開されて
いる(関連記事)。
Explorer 用の累積的なセキュリティ更新 (824145) (MS03-048)
11月12日の公開以降,いくつかのパッチに問題があることが明らかとな
っている。なかでも,この「MS03-048」についてはさまざまな問題が見つ
かっていて,原稿執筆時点(11月30日)でセキュリティ情報が4回更新さ
れている。
「MS03-048」に見つかった問題点を解説する前に,まずはこのセキュリ
ティ・ホールの概要を紹介する。
「MS03-048」には,5つの新しいセキュリティ・ホールが含まれる。
(1)ExecCommand のクロス ドメインの脆弱性
(2)関数ポインタ上書きのクロス ドメインの脆弱性
(3)スクリプト URL のクロス ドメインの脆弱性
(4)XML オブジェクトの脆弱性
(5)ドラッグ アンド ドロップの操作の脆弱性
影響を受けるのは,IE 5.01/5.5/6。セキュリティ・ホールを悪用さ
れると,WebページやHTMLメールを閲覧しただけで,悪意があるコードを
実行させられる恐れがある。デフォルト設定で影響を受けるので,深刻度
は最悪の「緊急」に設定されている。
ただし,Windows Server 2003 の IE6 は「セキュリティ強化の構成」
なので,デフォルトでは影響を受けない。このためWindows Server 2003
においては,最大深刻度が上から3番目(下から2番目)の「警告」に設定
されている。
対策はパッチを適用すること。今回公開されたパッチは,IEに関する過
去のパッチを含む“累積”パッチである。上の5つの新しいセキュリティ
・ホールだけではなく,過去に公開されたセキュリティ・ホールもふさげ
る。なお,過去に公開された累積パッチ(例えば,「MS03-004」
「MS03-015」「MS03-020」「MS03-032」「MS03-040」)同様,適用すると
「HTML ヘルプ機能」を使用できなくなるなどの注意点がある。注意点に
ついては,セキュリティ情報を参照してほしい。
パッチを適用できない環境では回避策を実施する。回避策としては,IE
において「インターネットおよびイントラネット ゾーンで ActiveX コン
トロールを無効にする」ことが最も確実だ。この設定は,以前の記事で紹
介した「IEを使い続けるための“お勧め”設定 2002年3月27日版」に含
まれる設定だ。メールを使った攻撃を回避するには,OutlookやOutlook
Expressにおいては,HTMLメールをテキストとして表示する設定にしてお
く。この設定にしておけば,メールを読んだだけで攻撃を受けることはな
い。
ところが,マイクロソフトのセキュリティ情報では,回避策として「イ
ンターネットおよびイントラネット ゾーンで ActiveX コントロールを実
行する前にダイアログを表示する」ことを勧めている。これは,過去の記
事でも書いたように,筆者としてはお勧めできない回避策だ。というのも,
ダイアログが表示されても,そのページが危険かどうかを判断することは
一般的には困難だからだ。
Windows Server 2003 の「セキュリティ強化の構成」では,インターネ
ットおよびイントラネット ゾーンで ActiveX コントロールを無効にして
いる。同社では,この設定がセキュリティ上望ましいと考えているからこ
そ,無効にしているのだろう。回避策でも「セキュリティ強化の構成」と
同じように,ダイアログを表示する設定ではなく,無効にする設定を勧め
てもらいたい。
ActiveX コントロールを無効にする手順は,「マイクロソフト サポー
ト技術情報 - 154036 [IE] Internet Explorer のアクティブ コンテン
ツを無効にする方法」に記載されているので,こちらを参照してほしい。
トラブル続出のIEの新パッチ
それでは次に,IEの新パッチに見つかった問題を解説しよう。マイクロ
ソフトが公開する「セキュリティ情報」の多くは,公開後必要に応じてさ
まざまな情報が追記される。IEの新しいセキュリティ・ホール「MS03-048」
については,11月30日現在で,既に4回情報が追記されている。
まずは,「MS03-048」が公開された11月12日に,「修正プログラムが正
しくインストールされたかどうか確認する方法」が修正された。パッチが
適用できたかどうかは,レジストリ・キーを確認すれば分かる。そのレジ
ストリ・キーの情報が,公開当初は誤っていた。それが修正されたのであ
る。
11月13日には,「よく寄せられる質問」に,IE 5.01 SP3 用パッチと
Windows 98/98SEに関する説明が追加された。 11月18日には,パッチの
適用後,再起動する必要性があることが追記された。
11月19日には,「よく寄せられる質問」 に「サポート技術情報 832270」
に関する情報が追加された。以上4件の追記のうち,この「マイクロソフ
ト サポート技術情報 - 832270 - スクロールバーの空白部分をクリック
すると画面スクロールが正しく行われない」は,「MS03-048」のパッチの
適用により発生するバグである(関連記事)。
具体的には,IEのスクロール・バーの空白部分をクリックすると,本来
は1ページ分スクロールされるべきところが,2ページ分スクロールされる。
サポート技術情報では,このバグの回避策として,「キーボード操作より
画面スクロールをする」ことを挙げているだけで,このバグを修正する新
たなパッチは公開されていない。
原稿執筆時点(11月30日)ではセキュリティ情報に記載されていないが,
上記以外にも「MS03-048」のパッチを適用すると発生するバグが存在する。
「マイクロソフト サポート技術情報 - 832547 - [IE] Q824145
(MS03-048) のインストール後,エクスプローラの「関連項目」のリンク
が機能しない」である。
Windows 2000 に「MS03-048」のパッチを適用すると, Windows エクス
プローラやマイコンピュータに表示される「関連項目」のリンク (「デス
クトップ」や「マイ ドキュメント」など) が機能しなくなる。スクロー
ルに関するバグと同様に,このバグを修正する新たなパッチは公開されて
いない。
パッチが存在しないIEのホール
セキュリティ・ベンダーである「Secunia」は11月25日,「MS03-048」
のパッチを適用しても解消できないIEのセキュリティ・ホールの解説を公
開した(関連記事)。具体的には,IE 6/5.5/5.01が影響を受ける,以
下の8種類のセキュリティ・ホールである。Liu Die Yu氏が発見した。
(1)「New "Clean" IE Remote Compromise」
(2)「MHTML Redirection leads to local file parsing in INTERNET
zone」
(3)「MHTML Redirection Leads to Downloading EXE and Executing」
(4)「BackToFramedJpu - a successor of BackToJpu attack」
(5)「HijackClickV2 - a successor of HijackClick attack」
(6)「Invalid ContentType may disclose cache directory」
(7)「Cache Disclosure Leads to MYCOMPUTER Zone and Remote
Compromise」
(8)「IE Remote Compromise by Getting Cache Location」
これらを悪用されると,「攻撃者にシステムへのアクセスを許す」「マ
シン内の情報を盗まれる」「クロスサイト・スクリプティングを利用した
攻撃を許す」「セキュリティ機構をバイパスされる」「悪意のあるファイ
ルをダウンロードおよび実行させられる」――などの可能性がある。上記
8種類のセキュリティ・ホールを検証するためのデモ・サイトも存在する。
過去の例から考えると,次回のセキュリティ情報の公開日である12月10
日に,これらすべてを解消するパッチが公開される可能性は低い。次回以
降に持ち越されるセキュリティ・ホールはあるだろう。現在ではパッチの
公開は原則として1カ月に1回なので,次回以降に持ち越されると,セキュ
リティ・ホールの詳細が明らかでありながら,数カ月にわたって放置され
ることになる。
Secuniaが公開する情報「Internet Explorer System Compromise
Vulnerabilities」では,回避策を2つ挙げている。まず,「アクティブ
スクリプトを無効にする(Disable Active Scripting)」ことである。こ
れも,以前の記事で紹介した「IEを使い続けるための“お勧め”設定
2002年3月27日版」に含まれる設定である。この“お勧め”設定を実施し
ていれば,セキュリティ・ホールの影響を回避できる。
もう一つが,「他のプロダクト(ブラウザ)を使用する(Use another
product)」ことである。
マイクロソフトはセキュリティに力を入れて,鋭意パッチを公開をして
いる。しかし,新しいセキュリティ・ホールは次から次へと見つけられる。
また,検証が不十分なためか,パッチにバグが見つかる場合が少なくない。
セキュリティを重視すれば,Secuniaが回避策の一つとして挙げているよ
うに他のブラウザを使うこと,あるいは複数のブラウザを使い分けること
を真剣に考えるべきときが来ているのではないだろうか。
セキュリティに限らず,使い勝手の点でも気になることがある。特許の
問題から,使い勝手が悪い新バージョンを使用せざるを得なくなる可能性
がある(関連記事)。新バージョンでは,動的コンテンツがあるたびに,
Webページの読み込みを停止して確認ダイアログを表示することになる。
マイクロソフトが提供する開発者向けのWebサイトでは,その新バージョ
ンのベータ版「IE6 SP1b」の配布が始まっている。
「デフォルトで搭載されているから」という理由だけでIEを使い続ける
のは,そろそろやめるべきではないだろうか。
IE以外のブラウザの現状
IEの代替となる,あるいは併用できるブラウザとしては何が考えられる
だろうか。主なブラウザのセキュリティに関する現状を紹介する。
まず「Opera」については,日本語バージョンの最新版「Opera 7.22
for Windows」に関するセキュリティ情報が,「Opera セキュリティ情報」
に掲載されている。
同情報では,7.22以前のすべてのバージョンが影響を受ける「特定の
MIMEタイプを持つデータがユーザーに無許可でダウンロード・実行される
問題」が11月20日に公開された。悪用されると,Webページを閲覧しただ
けで,任意のファイルをダウンロードおよび実行させられる可能性がある。
「Opera 7.23 for Windows」では解消されているが,日本語バージョン
は未公開である。日本語バージョンでは設定を変更して回避する。具体的
には,「設定」画面内の「ファイルタイプ」にあるMIMEタイプから,
「application/x-opera-configuration-*」および
「application/x-opera-skin」の動作を「Operaで開く」から「ダウンロ
ードダイアログを表示する」に変更する。
このセキュリティ・ホールの詳細については,発見者が公開する
「[Opera 7] 外部から任意のローカルファイルが作成される脆弱性」で確
認してほしい。
アプリケーション・スイートである「Netscape」に含まれるNetscapeブ
ラウザはどうだろうか。Netscapeの日本語バージョンの最新版は,2003年
6月30日に公開された「Netscape 7.1」である。
Netscape 7.1の新機能は,「Netscape 7.0 - 7.1 リリース ノート」に
記載されている。しかし,セキュリティ・ホールに関する情報は分からな
い。セキュリティ情報を公開する,「Security Center」というページは
存在するものの,2002年11月19日を最後に更新が止まっているからだ。
一方,Netscape 7.1 の ベースといえるアプリケーション・スイート
「Mozilla」に含まれるMozilla ブラウザでは,セキュリティ情報がきち
んと更新されている。「Netscape 7.1」と同時(2003年6月30日)に公開
されたMozilla ブラウザは「Mozilla 1.4」である。このため,「Mozilla
1.4」に存在するセキュリティ・ホールは,「Netscape 7.1」にも存在す
ると考えられるだろう。
Mozilla ブラウザのセキュリティ情報は,「Mozilla における既知の脆
弱性」として公開されている。最新の情報は,11月25日に追記された
「2003年11月更新」である。ここでは,「Mozilla 1.4」のセキュリティ
・ホールが6件リストアップされている。
(1)「Cookie:異なるパスによってセットされた Cookie の読み取り」
(2)「メール:ディスクへのパスワード保存」
(3)「JavaScript:任意のコード実行」
(4)「ネットワーク:パスワードの読み取り」
(5)「実行ファイルの実行:Windows 上で *.hta ファイルが実行され
るおそれ」
(6)「JavaScript:任意のコード実行」
(3)や(5)および(6)を悪用されると,任意のコードを実行させら
れる可能性がある。それぞれの回避策が同情報に記載されている
ので,NetscapeやMozillaのユーザーは確認してほしい。
なお,Mozillaの最新版は,10月15日公開された「Mozilla 1.5」である。
Mozilla 1.5では上記6件のセキュリティ・ホールは解消されている。
Mozilla 1.5を利用する上では,いくつか注意点がある。まず,原稿執
筆時点(11月30日)で,「mozilla.org 日本語版」のトップページに存在
する「フリーダウンロード」のWindows版のリンクは誤っている。ダウン
ロード・ページに存在するリンクや,「もじら組」のトップページに存在
するリンクが正しい。
また,上記のリンクからダウンロードした「Mozilla 1.5」は英語バー
ジョンであり,メニューなどは英語で表示される。ただし,設定を日本語
対応に変更すれば,日本語版Windowsでも問題なく利用できる。具体的に
は,Editメニューの「Preferences」から「Appearance」を選択し,
「Fonts」を“Japanese”に変更する。併せて,Viewメニューの
「Character Coding」から「Auto-Detect」の項を“Japanese”に変更す
れば利用できる。
なお,デフォルト設定ではJavaが有効になっている。セキュリティの観
点からは好ましくないので,Editメニューの「Preferences」の
「Advanced」から「Enable Java」のチェックを外して,無効にしておこ
う。
現在,「Netscape」や「Mozilla」をめぐる状況は目まぐるしく変化し
ている(関連記事)。今後サポート体制がどうなるのか分からない部分が
多い。NetscapeやMozillaのユーザーは動向を注目したい。このコラムで
も,適宜お知らせしたいと思う。
以上のように,IEには問題が多いものの,「IE以外のブラウザを使って
いれば大丈夫」というわけではない。IE以外のブラウザを使っていても,
最新の状況を継続して確認し,自分の判断で使用するブラウザを決める必
要がある。
セキュリティ・リスクを減少させる方法としては,このコラムで何度も
書いているように,複数のブラウザを使い分けることをお勧めしたい。筆
者は,イントラネットでは“お勧め”設定を施したIE 6を使用している。
イントラネットのサイトは,IE以外では動作保証していない場合が多いか
らだ。“お勧め”設定を施した上で,信頼済みサイト・ゾーンに自社のド
メインとWindows Updateの「http://*.windowsupdate.microsoft.com」お
よび「http://*.windowsupdate.com」を設定している。もちろん,最新の
サービス・パック(SP1)とすべてのセキュリティ・パッチを適用してい
る。インターネットでは,Java機能を無効にした「Mozilla 1.5」を使用
している。
“超特大”ホールにも追加情報
前回の記事で,解説した“超特大”のセキュリティ・ホール「メッセン
ジャ サービスのバッファ オーバーランにより,コードが実行される
(828035) (MS03-043)」にも,いくつか注目すべき情報が追加されている。
まず,前回の記事に追記としてお知らせしたように,Windows XP 用パ
ッチの問題が確認されている。当初公開されたパッチは,システム上の
wkssvc.dllを修正するものの,キャッシュフォルダのwkssvc.dllを修正し
なかった。この問題を解消するために,修正されたパッチを適用する必要
があることがセキュリティ情報に追記された。
同じく前回の記事に追記したように,当初公開されたパッチを適用して
いると,新しいパッチがWindows Updateに表示されないという問題があっ
た。その後表示されるようになったと思ったが,数日後にはまた表示され
なくなった。11月30日に確認したところ,現在では古いパッチを適用して
いても,新しいパッチが表示されるようになっている。
加えて,セキュリティ情報の「警告」 が更新されている。具体的には,
Windows NT 4.0 Workstation ベースのクライアントにパッチを適用する
と,ネットワーク関連の問題が発生する可能性があることが追記された。
この問題については,「マイクロソフト サポート技術情報 - 831579
セキュリティ アップデート KB828035 のインストール後,Windows NT
4.0 クライアント コンピュータで複数のネットワーク関連の問題が発生
する」に詳しく記載されている。複数の問題が報告されているが,なかに
は「Windows NT 4.0 ベースのドメイン コントローラが応答を停止するか
クラッシュする」という致命的な現象も報告されているので注意しよう。
上記のサポート技術情報のオリジナル情報(英語)である「Knowledge
Base Article ID 831579 Windows NT 4.0 Client Computers Have
Multiple Network-Related Problems After You Install the KB828035
Security Update」を参照すると,米Microsoftではこの問題を解消する
Hotfixを提供しているという。日本語情報にはHotfixに関する記述はない。
マイクロソフトでも,ぜひHotfixを提供してもらいたい。
最後に,上記以外のWindows関連セキュリティ・トピックス(2003年11
月30日時点)については,各プロダクトごとにまとめたリンクを記事末に
記したので,詳細についてはリンク先の情報を参照してほしい。
マイクロソフト セキュリティ情報一覧
『Internet Explorer 6/5.5/5.01』
◆Internet Explorer 用の累積的なセキュリティ更新 (824145)(MS03-048)
(2003年11月19日:「よく寄せられる質問」 にサポート技術情報 832270 を追加)
(2003年11月18日:「再起動の必要性」 の情報を更新)
(2003年11月13日:「よく寄せられる質問」に IE 5.01 SP3用パッチとWindows 98/98SEの情報を追加)
(2003年11月12日:「修正プログラムが正しくインストールされたかどうか確認する方法」 を修正)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windowsファミリ(Meを除く)』
◆メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035)(MS03-043)
(2003年11月18日:Windowx XP の 「ファイルに関する情報」 を更新)
(2003年11月17日:Windows XP 用パッチの問題を確認。新パッチの適用を推奨)
(2003年11月17日:「警告」を更新。NT 4.0 クライアントに関する情報を追加)
(2003年10月30日:Debug Programsの問題を修正したWindows 2000/XP/Server 2003 用パッチを公開)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windows 2000/XP』
◆Workstation サービスのバッファ オーバーランにより,コードが実行される (828749)(MS03-049)
(2003年11月17日:Windows 2000 の 「再起動の必要性」 の欄を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『FrontPage 2000 Server Extensions/FrontPage Server Extensions 2002』
◆Microsoft FrontPage Server Extensions のバッファ オーバーランにより,コードが実行される (813360)(MS03-051)
(2003年11月20日:セットアップ スイッチに関する情報を更新)
(2003年11月17日:「修正プログラムが正しくインストールされたかどうか確認する方法」 から不要な情報が削除)
(2003年11月17日:「回避策」の欄を更新)
(2003年11月13日:セキュリティ・ホールの悪用に関する情報を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Excel 97/2000/2002,Word 97/98/2000/2002など』
◆Microsoft Wordおよび Microsoft Excel の脆弱性により,任意のコードが実行される (831527)(MS03-050)
(2003年11月25日:「よく寄せられる質問」にExcel 97 の郵便番号変換ウィザードに関する説明を追加)
(2003年11月13日:Excel 97,Word 97/98 から Office Updateのマークを削除)
(2003年11月13日:Excel 2000/Word 2000 に関する情報を更新)
(2003年11月12日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
マイクロソフト トラブル・メンテナンス速報
◆Internet Explorer と Windows の脆弱性をねらう手口が公開されています
(更新日:2003年11月22日)