 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
4月の月例パッチ前に、Webコンテンツを修正する |
||||||||||||||||||
|
||||||||||||||||||
|
Windows Media Player、Flash、QuickTimeなどを使用するページは注意
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
マイクロソフトの4月の月例セキュリティ修正プログラム(パッチ)に関しては、本日7日に事前通知が公開された。今回のパッチについては、「MSRC(Microsoft Security Response Center)Blog」などでもいくつかの情報を掲載している。 日本時間の4月12日未明に公開されるパッチは、Windowsの5つの脆弱性に対してのものだ。注目されるのは、Internet Explorer(IE)の危険な脆弱性に関する修正パッチ。これは、俗に「createTextRange()問題」と呼ばれているもので、細工されたWebページを表示させるだけで、悪意の第三者によって、Webページを閲覧したPC上で任意のコードが実行させられる恐れがある。 すでに、脆弱性を悪用したexploitコードやトロイの木馬など悪意のプログラムがインターネット上に出現していることが確認されており、できるだけ早く、しかも確実な対処が求められている。従って、今回のパッチはなるべく早めに適用するべきだろう。 もうひとつ、MSRC Blogでも指摘しているトピックは「ActiveXの挙動変更」のパッチだ。これは、適用するとIEやIEコンポーネントを使ったプログラム上での、ActiveXオブジェクトの挙動を変えるというものだ。 具体的には、Windows Media PlayerやFlash PlayerなどをIE上で表示させる際に、その上でユーザーがボタンなどを操作する前に、操作を許可する動作がワンクッション必要となる。例えば、embedタグ、objectタグ、それにappletタグで組み込み表示させたWebページでは、「このコントロールをアクティブ化して使用するにはクリックしてください」というバルーンヘルプが出るようになるのだ。 Shockwave PlayerやQuickTimeに関しても、ダイアログボックス表示で同様のメッセージが表示される。このメッセージに表示されている通り、もし再生ボタンをクリックして再生したい時には、従来のようにマウスで再生ボタンをクリックすると再生されるのではなく、一度どこかをクリックしてから、さらに再生ボタンをクリックすることができるようになる。
このパッチは、技術情報「KB912945」のパッチとして、すでにWindows Updateなどで、配布されているパッチだが、4月に提供されるIEの累積的なセキュリティパッチに含まれており、「優先度の高い更新プログラム」として4月12日以降Windows UpdateやMicrosoft Updateで提供される。パッチを適用すると、ActiveXの挙動が変化してしまうことになるので注意が必要だ。 MSRC Blogによれば、この変更は、4月の月例パッチ以降Windows UpdateやMicrosoft Updateで「追加選択」として含まれるパッチを利用することで、6月の月例パッチまでは無効にできるということだが、追加選択を行わない大方のWindowsユーザーにとっては、「4月以降は挙動が変わる」と思っていたほうがいいだろう。 ● Flash表示などを外部スクリプト化すべき Windows Media Playerの場合はさほど問題ではないかもしれないが、この挙動の変更が特に問題になるのは、一部のFlashコンテンツだろう。Flashを使ったWebページを作っている場合などは注意してほしい。例えば、Webページ中には、Flashで作成したバナーやボタンなど、「ユーザーがクリックすることを期待して表示しているFlashコンテンツ」が表示されていることがある。しかし、この4月の月例パッチを適用すると、一度FlashをクリックしただけではFlashバナーでユーザーを目的のページ誘導できなくなる恐れがあるのだ。 というのも、今回の更新で、まず1回目のクリックはFlashをアクティブ化するためのクリックとされてしまうので、一度クリックしただけでは、他のページに飛ぶことがなくなってしまう。つまり、クリックしてどこかのページに飛べば、それは広告なのだなと認識するが、1回のクリックで他のページ飛ばなければ、そのバナーやボタンは「ただの絵なのだ」と錯覚してしまう可能性がある。 実は、マイクロソフトではすでにMSDNネットワークで対策を公表している。4月のセキュリティパッチまではあとわずかだが、もし、対策できるようであれば、この方法を使って従来通りワンクリックで他のページに移動できるようなページを作ることができるのだ。 対応方法は、MSDN(Microsoft Delveloper Network)という開発者向けの資料を掲載するWebサイト内で公開されており、一般ユーザーには見つけにくいところにある。 ■URL ActiveXコントロールのアクティブ化 http://www.microsoft.com/japan/msdn/workshop/author/dhtml/overview/activating_activex.aspx このWebページによると、以下の対応のいずれかを取ることで、ワンクッションが必要となるActiveXを、従来通りの挙動にできるという。
例えば、Flashで作ったボタンを表示させるとしよう。Flashの中身はマウスでクリックすると色が変わるというだけのサンプルで「onoff.swf」というファイル名だ。 通常であれば、このFlashボタンは、WebページにHTMLでこのように書かれているはずだ。
もし、「HTML中に書かれたembed、object、appletタグを、外部JavaScriptファイルの、document.writeメソッドで書くように置き換える」方法で対処するのであれば、この部分を以下のように外部スクリプトファイルを読むためのタグに書き換える。
そして、先ほどscriptタグで指定したファイル(この場合は「onoff.js」という名前のファイル)を作りdocument.writeで削除したembedタグの部分を書くようにする。
これでOKだ。下のFlashボタンは、上で解説したHTML直書きで表示しているFlashボタンと、外部スクリプトで書き換えたFlashボタンだ。通常のInternet Explorerでは下の2つのサンプルは同じようにしか見えないが、KB912945のパッチを適用すると、挙動が違っているのが確認できるはずだ。 なお、このActiveXの挙動の変更だが、特許権侵害であるとして米Eolas Technologiesが訴訟した件に対応するもので、本来、セキュリティの問題とは関係ない。特許上のクレームの問題で、外部ファイルにスクリプトを出すと、この特許を回避できる、ということのようだ。 従って、コンテンツ制作者としては、ユーザーにActiveXの挙動変更解消パッチの利用を指示できるのであれば、対応を6月まで延ばしてもセキュリティ上のリスクとはならないことも考慮に入れておくといいだろう。 ちなみに、このEolasは、従業員1名、自らはソフトウエア製品の開発や販売を行なっておらず、特許ロイヤリティなどによる収益を、従業員と100人ほどの投資家に還元するための企業であるようだ。 上記のように対応方法があるとはいえ、実際には他製品で使われることもない、単純にお金をせしめるためだけに作られた特許が、世界中のWebサイト開発者や利用者に負担をかける現状には、憤りを感じずにいられない。 関連情報 ■URL マイクロソフトのセキュリティアドバイザリ(912945) http://www.microsoft.com/japan/technet/security/advisory/912945.mspx ActiveXコントロールのアクティブ化(MSDN) http://www.microsoft.com/japan/msdn/workshop/author/dhtml/overview/activating_activex.aspx ■関連記事 ・ 4月の月例パッチはcreateTextRange()メソッドの脆弱性の修正含む5件(2006/04/07) ・ IEのActiveX処理に関する更新プログラムが、次回のパッチで必須扱いに(2006/03/31)
( 大和 哲 )
- ページの先頭へ-
|
