月例アップデートを前に……IEに複数の深刻な脆弱性

月例アップデートの日を前にして、IEに複数の深刻な脆弱性が存在することがセキュリティ関連メーリングリストで報告されている。

[高橋睦美，ITmedia]

　月例アップデートの日を前に、Internet Explorerに複数の深刻な脆弱性が存在することが報告された。

　発見者によるセキュリティ関連メーリングリストの投稿やSecuniaのアドバイザリによると、少なくともIEについて4種類の脆弱性が指摘されている。悪用されれば、IEのセキュリティ制限をかいくぐって任意のスクリプトを実行されたり、システムへの侵害を許しかねない深刻な問題だ。

　中でも深刻なのは、IEのあるファンクションが同じ名前を持つ（だが実体は異なる）ファンクションにリダイレクトされると、本来のセキュリティ制限を無視して呼び出されてしまうという問題だ。悪意あるサイトが、異なるセキュリティゾーンに分類されている別のサイトを介してクロスサイトスクリプティング攻撃を仕掛け、ワームを埋め込むといったことが可能になってしまう。

　発見者は、「理論的には、この方法はあらゆるファンクションに対して有効であるため、問題を修正するにはIEのファンクションのセキュリティチェックをすべて見直し、書き直すしかないだろう」とコメントしている。

　2つめの問題は、ドラッグ＆ドロップの脆弱性の新たなバリエーションである。細工を施したURLをクリックさせることで、ユーザーのPC上のデータを書き換えたり、ファイルを送り込むことが可能になるという、過去にも何度か指摘された問題点だが、今回はPopup.show()ファンクションの脆弱性に起因する。

　さらに、この投稿を元に、他の製品でも取り沙汰されている外部プロトコルハンドラ「shell:」の問題を組み合わせることで、システム侵害が可能になるとの指摘もなされている。

　3つめは、利用しているユーザーはそれほど多くはないかもしれないが、チャンネル機能に存在するセキュリティホールだ。チャンネルをお気に入りに追加する際に、あらかじめ仕込まれていたスクリプトがローカルセキュリティゾーンの設定で実行されてしまう。

　最後は、ポップアップウィンドウの表示を偽装し、ダウンロードしようとするファイルの名前と種類を別のものに見せかけることができるという問題である。何の害もない（あるいはユーザーにとって魅力的な）ファイルのように見せかけ、悪意あるコードが仕込まれたファイルの実行を促す、といった攻撃が考えられる。

　SecuniaではWindows XP SP1＋IE 6にパッチをすべて当てた環境で問題が再現されたとしている。さらに、発見者によればWindows XP SP2とIE 6の組み合わせでも、これらの問題の影響を受けるという。一連の問題による被害を受けないためには、少なくともActiveScriptをはじめスクリプト機能をすべて無効にするほか、不用意にURLをクリックしたり、疑わしいファイルのダウンロードを行わないといった形で自衛を図るしかない。あるいは、他のWebブラウザを利用するという手もある（7月12日の記事参照）。

　なお、一連の問題を指摘した人物は他にも、Windows Media Playerコントロールが、細工を施されたasx形式ファイル中のJavaScriptを実行してしまう問題や、Outlook ExpressのメッセージウィンドウでJavaScriptが実行されてしまう問題を指摘している。

　マイクロソフトが14日に公開予定の月例アップデートを適用することはもちろん重要だ。だが一連の問題は、時間的に見ても今月の月例アップデートで修正される可能性はほとんどない。多くのセキュリティ研究者の検証の的であり、攻撃者のターゲットにもなってしまっているIEを利用するならば、パッチの適用を行うとともに、セキュリティ設定を見直し、普段のWeb閲覧時にも怪しいリンクに気を配るなどして、パッチ未公開の脆弱性に備えることも忘れないようにすべきだ。