ニュース
2004/01/14 21:24:00 更新
月例パッチに含まれなかったIEの複数の脆弱性
マイクロソフトは2004年初の月例パッチを公開した。だが残念ながらその中には、Internet Explorer(IE)に存在するいくつかの問題を修正するパッチは含まれていない。
マイクロソフトは1月14日、2004年になって初の月例パッチを公開した(別記事参照)。しかし残念ながら、Internet Explorer(IE)に存在するいくつかの脆弱性を修正するパッチはまだリリースされていない。
昨年末には、URLの偽装を許すセキュリティホール(2003年12月11日の記事参照)が発見された。2004年に入ってから、さらに新たに2種類のセキュリティホールが指摘されている(SANS Instituteのニュースレター参照)。
1つは、ShowHelp()関数の実行時のチェック漏れに起因する問題だ。これを悪用し、細工を施したファイルをCHM(Compiled Help Module)ファイルとして実行させることにより、セキュリティ制限をかいくぐり、任意のファイルをMy Computerゾーンで実行させることが可能という。
もう1つは、Shell.Application()関数に起因する。My ComputerゾーンでHTMLファイルを開いた場合に、その中から引数付きのコマンドを実行できてしまうという問題だ。ローカルに保存したHTMLファイルを開いた場合などという条件付きだが、URLを指定してHTAファイルを実行させたり、悪くするとcmd.exeで「format c:」を実行させるといったことも可能という。
これら2つのセキュリティホールの深刻度は緊急というわけではない。しかし、検証用コードは既に公になっている。また今のところ、問題の根本的な解決になるであろう正式なパッチは存在しない。
マイクロソフトに確認したところ、同社は現在、問題の調査に当たっている最中という。パッチの公開については、「頻繁にパッチの提供を行いお客様の混乱を誘発することを避けるため、複数の修正を整理し、動作検証を含めたリリーススケジュールを組んでいる」(同社)。
というのも、パッチの緊急リリースを繰り返した結果、既存アプリケーションの動作に影響を及ぼすというケースが過去にたびたび生じたからだ。それを反省し、互換性や顧客にとっての管理容易性を考慮した結果が今の状態という。
ただしURL偽装の問題については、「脆弱性の悪用のしやすさや攻撃の柔軟さから、マイクロソフトにおいても危険なものと認識している」(同社)。万一、このセキュリティホールを悪用した何らかの事故が発生した際には、緊急措置を行う可能性はあるとのことだ。その可能性も視野に入れて、監視を行っている――というのが、同社の現在のステータスという。
以上を踏まえると、パッチがリリースされるまでは、SANSのニュースレターなどに示されている回避策を取るしかないだろう。SANSはこの中で、2つの方法を紹介している。1つは、IEのセキュリティ設定を変更し、「信頼済みサイト」以外ではスクリプト機能を無効にすること。もう1つは、MozillaやNetscapeなど、IE以外のWebブラウザを利用することだ(ただ、これら他のブラウザといえども、セキュリティホールが存在しないわけではない)。
関連記事
MS、1月の月例パッチでWindows 2000/XPなどの脆弱性に対応IEのサイト偽装問題で被害をこうむらないためにIEにサイトの偽装許すバグ? MSが調査中関連リンク
@RISK: The Consensus Security Vulnerability Alert(Volume 3, Issue 1)マイクロソフト[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
