悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2004年02月03日(火) 23時33分

IEのURL偽装問題が解消へ - 任意のコードが実行される緊急の脆弱性修正もMYCOM PC WEB

マイクロソフトは、最大深刻度が「緊急」と分類されるInternet Explorerの脆弱性情報「Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)」を公開、修正パッチの配布を開始した。現在、同社Webサイトからのダウンロード、またはWindows Updateからパッチを入手できる。任意のコードが実行できる脆弱性のほか、昨年12月から問題視されていたいわゆる「URL偽装問題」も解消される。

今回公開されたのは、「クロスドメインの脆弱性」「ドラッグアンドドロップ操作の脆弱性」「不適切なURLの正規化」という3つの脆弱性。それぞれの深刻度は「緊急」「重要」「重要」で、全体では「緊急」と分類されている。

対象となるのはInternet Explorer 5.01 Service Pack 2以降のすべてのIE、およびWindows NT 4.0/2000/XP/Server 2003。

「不適切なURLの正規化」、いわゆるURL偽装問題は、HTML内にあるリンクのURLの中に「特定の文字列と@」が存在した場合、そのリンクにアクセスすると、アドレスバーには「特定の文字列」以前のドメインが表示されるにもかかわらず、実際には「@」以降のドメインにアクセスされる、というもの。リンクにマウスポインタを当てた際にステータスバーに表示されるURLも偽装されるため、たとえば権威のあるサイトにURLを偽装して個人情報を入力させ情報を窃取する、などといったことが起こりえる。

パッチ適用後は、「@」の前後を文字列でつなぐ形式のURLを、IEが無効な構文として認識するようになり、結果的にURLの偽装は行えなくなる。アドレスバーの表示も正常になるが、ステータスバーの表示は偽装されたままだ。しかしサイトへのアクセスが行えなくなるため、危険性は除かれたといえるだろう。

ただしこの処理の結果として、URLにユーザー名とパスワードを埋め込んで基本認証をパスさせる方式、たとえば http(s)://username:password@server/resource.ext といった方式は利用できなくなる。

また「クロスドメインの脆弱性」は、悪意あるWebサイト、またはHTMLメールを表示すると、ユーザーのローカルファイルへのアクセス、任意のコード実行が可能になる、というもの。別のドメインのウィンドウが情報を共有しないようにするIEのクロスドメインセキュリティモデルに脆弱点があった。

「ドラッグアンドドロップ操作の脆弱性」は、IEのDHTMLイベント中における関数ポインタを使用したドラッグアンドドロップ操作の実行に脆弱性が存在した。リンクをクリックすると、任意の場所にファイルが保存される可能性があった。ダウンロードの許可を求めるダイアログは表示されず、攻撃者が指定した場所に保存されてしまう。

今回の修正パッチは、月例で同社が提供しているセキュリティ情報とは異なり、個別の緊急リリースとなった。マイクロソフト側では、特にURL偽装問題の解消を狙っており、さらにURL偽装と同時に悪用することで威力を発揮するような問題の修正を図った。

しかし、ユーザー名とパスワードをURLに含んだリンクが利用できるWebブラウザはほかにも存在するものの、URL偽装問題の解消のためにトップシェアのIEが仕様を変更したことで、管理者側は対応を迫られることになるだろう。

なお、マイクロソフトはこの修正のため、1月28日には同社の「サポート技術情報」サイトでこの修正を行うことを明らかにしていた。

画像はこちら
http://pcweb.mycom.co.jp/news/2004/02/03/009.html

米国土安全保障省がサイバーセキュリティの警告システム
http://pcweb.mycom.co.jp/news/2004/01/29/007.html

マイクロソフト、セキュリティ検査ソフト日本語版を正式公開
http://pcweb.mycom.co.jp/news/2004/01/20/005.html

04年最初のセキュリティ情報は「緊急」「警告」「重要」- MS月例公開
http://pcweb.mycom.co.jp/news/2004/01/14/003.html

米MS、12月分のセキュリティパッチをリリースせずもIEに脆弱性の疑いあり
http://pcweb.mycom.co.jp/news/2003/12/10/22.html

IEのセキュリティパッチを適用すると、不具合が発生する問題が発覚
http://pcweb.mycom.co.jp/news/2003/11/28/23.html

Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-004.asp

サポート技術情報
http://support.microsoft.com/default.aspx?scid=kb;ja;834489

マイクロソフト
http://www.microsoft.com/japan/

(MYCOM PC WEB)

http://headlines.yahoo.co.jp/hl?a=20040204-00000096-myc-sci