PR

 マイクロソフトは12月5日,Internet Explorer(IE)5.5/6Outlook 2002の新たなセキュリティ・ホールをそれぞれ公表した。ある細工が施されたWebページをIEで閲覧すると,ユーザー・マシン内のファイルを読み取られたり,実行されたりする恐れがある。また,ある細工が施されたメールをOutlook 2002で参照すると,Outlook 2002が異常終了する恐れがある。同社が設定した深刻度は,下から2番目(上から3番目)の「警告」。対策はパッチを適用すること。

 IEに見つかったセキュリティ・ホールは,セキュリティ情報「MS02-068: Internet Explorer用の累積的な修正プログラム (324929)」に記載されている。WebページをIEで閲覧した場合だけではなく,IEを使用するメール・ソフト(OutlookやOutlook Express)でHTMLメールを閲覧あるいはプレビューした場合にも,同じように影響を受ける。ただし,Outlook Express 6およびOutlook 2002,「Outlook 電子メール セキュリティアップデート」を適用した Outlook 98およびOutlook 2000 は影響を受けない。

 細工が施されたWebページやHTMLメールを閲覧すると,ユーザー・マシン上のファイルの内容を読み取られる恐れがある。また,既に存在する実行形式ファイルを実行される恐れがある。ただし,攻撃者はファイルの場所(パス)を正確に知っている必要がある。また,実行形式ファイルに対して,パラメータを渡すことはできない。さらに,ファイルの削除や改変などはできない。任意のファイルをアップロードすることなどもできない。

 Outlook 2002に見つかったセキュリティ・ホールは,「MS02-067: 電子メール・ヘッダー処理の問題により,Outlook 2002 が異常終了する (331866)」である。ある細工が施されたメールをOutlook 2002で参照しようとすると,Outlook 2002が異常終了してしまう。メールを削除しようとしても異常終了してしまうため削除できない。このため,管理者に頼んで削除してもらうか,別のメール・ソフト,あるいはパッチを適用したOutlook 2002で削除する必要がある。

 該当するメールを削除してしまえば,通常の操作が可能になる。また,異常終了以外の影響は受けない。

 なお,MAPIでメール・サーバーと接続しているOutlook 2002は影響を受けない。POP3やIMAP,WebDAVで接続している場合のみ影響を受ける。また,Outlook 2000やOutlook Expressは影響を受けない。

 いずれのセキュリティ・ホールについても,4段階ある深刻度のうち,下から2番目の「警告」が設定されている。「警告」については,慌ててパッチを適用する必要はないとされているが,IEおよびOutlook 2002ユーザーは対策を施しておきたい。対策はマイクロソフトが公開しているパッチを適用すること。いずれのパッチもセキュリティ情報のページからダウンロードできる。また,「Windows Update」「Office Update」からもパッチを適用できる。なお,「MS02-068」は過去に公開されたIE関連のセキュリティ・パッチをすべて含んだ累積パッチである。

◎参考資料
「MS02-067: 電子メール・ヘッダー処理の問題により,Outlook 2002 が異常終了する (331866)」(要約情報およびパッチ)
「MS02-068: Internet Explorer用の累積的な修正プログラム (324929)」(要約情報およびパッチ)
「MS02-067:E-mail Header Processing Flaw Could Cause Outlook 2002 to Fail (331866)」(英語情報)
「MS02-068:Cumulative Patch for Internet Explorer (324929)」(英語情報)
「MS02-067: 電子メール・ヘッダー処理の問題により,Outlook 2002 が異常終了する (331866)」
「MS02-068: Internet Explorer用の累積的な修正プログラム (324929)」

(勝村 幸博=IT Pro)