マイクロソフト,IE向けの累積的パッチを公開。しかし……
| 【国内記事】 | 2002.3.29 |
米マイクロソフトは3月28日,Internet Explorer(IE)向けの累積的なパッチ(MS02-015)を公開した。2月に公開された累積的パッチ「MS02-005」に加え,新たに公開された2つの脆弱性を修正するものだ。
パッチの適用対象はIE 6のほか,IE 5.5 SP1/2,IE 5.01 SP2となっており,日本語版のパッチもダウンロードできる。ただしIE 5.01は,Windows 2000/Windows NT 4.0上で稼働するものだけが対象で,それ以外の,Windows Meなどのプラットフォーム向けのIE 5.01用パッチは提供されていない。
新たに公開された2つの問題
先に触れたとおりMS02-015を適用すると,これまでに修正されたすべての問題点のほか,新たに2つの問題点が修正される。
1)Cookieベースのスクリプトによる例外
IE 5.5とIE 6に影響を与える。攻撃者がスクリプトを組み込んだCookieを送り込み,次に,Web上にあるスクリプトからCookie内のスクリプトを開くことにより,ログインしているユーザー権限でCookie内のスクリプトが実行されてしまう可能性があり,同社では危険性を「高」としている。
これは,本来ならば,Cookieを送りつけたサイトのセキュリティレベル,一般には「インターネット・ゾーン」のセキュリティレベルで実行されるべきCookie中のスクリプトが,「ローカル・コンピュータ・ゾーン」のセキュリティ設定で実行されてしまうことが原因だ。
2)Objectタグによるローカル実行ファイルの呼び出し
IE 5.01/5.5および6に影響を与える。Objectタグの取り扱い方法に存在する脆弱性を悪用することで,ローカルマシン内にあるファイルが実行される可能性がある。ただし,攻撃者は,ローカルファイルのパスを知っている必要がある。危険度は「中」だ。
なお,Outlook 98やOutlook 2002,Outlook Express 6,あるいはOutlook Email セキュリティアップデートを適用したOutlook 2000では,この問題の影響は受けないという。
今できる対策は?
ただし,このパッチでは修正されないセキュリティホールも存在している。先日記事としても取り上げた,ラックの新井悠氏が発見した問題だ。新井氏,マイクロソフト双方に確認したところ,MS02-015ではこの問題は修正されないといい,引き続き,この問題に対するパッチの公開に向けて作業を進めているという。
ここでユーザーが取れる対処策は何か,私なりに整理してみた。
まず,まだ修正されないセキュリティホールが存在するとはいえ,OSのほかIEをはじめとするアプリケーションすべてについて,MS02-015を含め最新のパッチを適用することが最初のステップだ。
その上で,インターネットオプションの設定を変更する。これまでも紹介してきたとおり,「ActiveXコントロールとプラグイン」や「Active Script」などのスクリプト機能,Microsoft VMなどの機能を無効にする。
また同じくインターネットオプションの設定で,「ファイルのダウンロード」も無効にする(“缶詰の中に缶切り”とならないよう,この前にパッチ類はダウンロードしておく)。
新井氏はさらに,インターネットオプションの「詳細設定」タブで,「マルチメディア」の項の「Webページのアニメーションを再生する」のほか,サウンドとビデオからチェックを外し,無効にすることを推奨するとしている。
また,信用できると思われるサイトにアクセスするときはIE,それ以外のサイトにアクセスするときはIE以外のブラウザ,たとえばNetscapeやOperaなどを使う,という具合に,アクセスするサイトに応じてブラウザを使い分けるという手段もある。閉じたイントラネット内で,まず問題ないと思われるWebサイトならば,「信頼済みサイト」に加えることも1つの手だ。
だが中にはIE専用にデザインされているため,上記のスクリプト関連機能を無効にしていたり,IE以外のブラウザでアクセスすると,いったい何の情報があるのか把握できないWebページも存在する。はなはだ歯切れの悪い結論だが,そうしたサイトを利用する場合には,パッチの適用,設定変更など可能な対処をしたうえで思い切って臨むか,あるいはアクセスをあきらめるしかないのが現状だ。これは半分冗談だが,いっそLynxなどのテキストブラウザで“清貧”なWeb環境に甘んじるのも手か,などという思いも浮かぶ。
関連記事
IE 6に影響を与える重大なセキュリティホール,当面は設定変更で回避を
関連リンク
マイクロソフト「MS02-015に関する情報」(日本語要約)
米マイクロソフト「Microsoft Security Bulletin MS02-015」
[高橋睦美 ,ITmedia]
