2004年01月14日(水) 22時07分
月例パッチに含まれなかったIEの複数の脆弱性(ITmediaエンタープライズ)
マイクロソフトは1月14日、2004年になって初の月例パッチを公開した。しかし残念ながら、Internet Explorer(IE)に存在するいくつかの脆弱性を修正するパッチはまだリリースされていない。
昨年末には、URLの偽装を許すセキュリティホールが発見された。2004年に入ってから、さらに新たに2種類のセキュリティホールが指摘されている。
1つは、ShowHelp()関数の実行時のチェック漏れに起因する問題だ。これを悪用し、細工を施したファイルをCHM(Compiled Help Module)ファイルとして実行させることにより、セキュリティ制限をかいくぐり、任意のファイルをMy Computerゾーンで実行させることが可能という。
もう1つは、Shell.Application()関数に起因する。My ComputerゾーンでHTMLファイルを開いた場合に、その中から引数付きのコマンドを実行できてしまうという問題だ。ローカルに保存したHTMLファイルを開いた場合などという条件付きだが、URLを指定してHTAファイルを実行させたり、悪くするとcmd.exeで「format c:」を実行させるといったことも可能という。
これら2つのセキュリティホールの深刻度は緊急というわけではない。しかし、検証用コードは既に公になっている。また今のところ、問題の根本的な解決になるであろう正式なパッチは存在しない。
マイクロソフトに確認したところ、同社は現在、問題の調査に当たっている最中という。パッチの公開については、「頻繁にパッチの提供を行いお客様の混乱を誘発することを避けるため、複数の修正を整理し、動作検証を含めたリリーススケジュールを組んでいる」(同社)。
というのも、パッチの緊急リリースを繰り返した結果、既存アプリケーションの動作に影響を及ぼすというケースが過去にたびたび生じたからだ。それを反省し、互換性や顧客にとっての管理容易性を考慮した結果が今の状態という。
ただしURL偽装の問題については、「脆弱性の悪用のしやすさや攻撃の柔軟さから、マイクロソフトにおいても危険なものと認識している」(同社)。万一、このセキュリティホールを悪用した何らかの事故が発生した際には、緊急措置を行う可能性はあるとのことだ。その可能性も視野に入れて、監視を行っている——というのが、同社の現在のステータスという。
以上を踏まえると、パッチがリリースされるまでは、SANSのニュースレターなどに示されている回避策を取るしかないだろう。SANSはこの中で、2つの方法を紹介している。1つは、IEのセキュリティ設定を変更し、「信頼済みサイト」以外ではスクリプト機能を無効にすること。もう1つは、MozillaやNetscapeなど、IE以外のWebブラウザを利用することだ(ただ、これら他のブラウザといえども、セキュリティホールが存在しないわけではない)。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ)
http://headlines.yahoo.co.jp/hl?a=20040114-00000002-zdn_ep-sci