PR

 マイクロソフトは2月3日,Internet Explorer(IE)のセキュリティ・パッチを公開した。パッチを適用すると,URLを偽装されるセキュリティ・ホールや,任意のプログラムを実行させられるセキュリティ・ホールを解消できる。パッチは「Windows Update」セキュリティ情報のページから入手できる。今回のパッチで解消できるセキュリティ・ホールの最大深刻度は,最悪の「緊急」である。Windowsユーザーは早急にパッチを適用する必要がある。

 2003年10月以降,マイクロソフトはパッチの公開スケジュールを変更し,月1回まとめて公開するようにした関連記事)。ただし,危険なセキュリティ・ホールを解消するパッチについては,スケジュールに従わずに公開する場合があるとしていた。

 毎月のパッチ公開予定日は事前にアナウンスされており,2月のパッチ公開日は2月11日を予定していた。それが今回,公開予定日以外にパッチが公開された。スケジュールに従わずに臨時にパッチが公開されたのは今回が初めて。なお,2月11日にも予定通りいくつかのパッチが公開されると予想される。

 今回公開されたパッチで解消できるのは,以下の3種類のセキュリティ・ホールである。

(1)Travel Log のクロス ドメインの脆弱性により,リモートでコードが実行される
(2)ドラッグ アンド ドロップ操作の脆弱性
(3)不適切な URL の正規化の脆弱性

 (1)を悪用されると,細工が施されたWebページやHTMLメールを閲覧するだけで,任意のプログラムを実行させられる恐れがある。とても危険なセキュリティ・ホールであり,深刻度は最悪の「緊急」に設定されている。

 マイクロソフトのセキュリティ情報には,(1)の発見者に対してのみ,「謝辞」が記載されている。このため,(1)は今まで他のベンダーやユーザーによって公開されていないセキュリティ・ホールだと考えられる。

 これに対して,(2)と(3)については謝辞が記載されていない。これらは他のベンダーやユーザーによって既に公開されているセキュリティ・ホールだと考えられる。まず(2)については,任意のファイルをパソコンに保存させられるセキュリティ・ホールである。WebページやHTMLメール中の,細工が施されたリンクをユーザーがクリックすると,任意のファイルを任意の場所(フォルダ)に勝手に保存させられる。このとき,ユーザーに承認を求めるダイアログなどは表示されない。

 保存させられるだけで,任意のファイル(プログラム)を実行させられることはない。しかし,ユーザーが頻繁に使用するプログラム・ファイルやOSが使用するプログラム・ファイルに,任意のファイルを同名で上書きさせられると,ユーザーが意識しないうちに,そのファイルを実行させられる可能性がある。リンクをクリックした時点でファイルを実行させられることはないので,深刻度は上から2番目の「重要」に設定されているが,危険なセキュリティ・ホールである。

 セキュリティ・ホールの内容から,(2)は2003年11月に他のベンダーなどから既に公開されているセキュリティ・ホールだと考えられる(関連記事)。

 (3)は,IEのアドレス・バーやステータス・バーなどに表示されるURLを偽装されるセキュリティ・ホールである。これを利用すれば,悪意があるWebページを,信頼できる企業や組織のWebページに見せかけることが可能となる。このセキュリティ・ホールは2003年12月に他のベンダーなどが公開した(関連記事)。

 (3)を解消するパッチが公開予定であることを,米Microsoftは米国時間1月27日に表明した(関連記事)。表明どおり,今回,このパッチを含むパッチが公開された。なお,今回のパッチを適用すると,「http://[ユーザー名]:[パスワード]@[サーバー名].[ドメイン名]/[ファイル名]」の形式のURLは利用できなくなる。

 パッチは「Windows Update」から適用できる。セキュリティ情報のページからもダウンロードできる。パッチは,IE 6/6 SP1/6 SP1 for Windows Server 2003,IE 5.5 SP2,IE 5.01 SP2/SP3/SP4――に適用できる。

【2月3日 IT Pro追記】今回公開されたパッチをIE6 SP1に適用すると,記憶させたはずのパスワードが表示されなくなる場合がある関連記事)。【以上,2月3日追記】

◎参考資料
Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)
マイクロソフト セキュリティ情報 (MS04-004) : よく寄せられる質問
絵でみるセキュリティ情報 MS04-004 : Internet Explorer の重要な更新

(勝村 幸博=IT Pro)