【セキュリティ】

HTMLメールを見るだけで感染

IE5.5/6に深刻なバグ~Microsoftが修正パッチ公開

■URL
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
http://www.microsoft.com/japan/technet/security/current.asp
http://www.solutions.fi/index.cgi/news_2001_11_26?lang=eng
http://www.solutions.fi/index.cgi/news_2001_12_14?lang=eng

 米Microsoftは、12月13日付でブラウザー「Internet Explorer(IE)」に存在する3つのセキュリティーホールを修正するためのパッチを発表した。このセキュリティーホールはIE5.5もしくはIE6.0に存在するもので、HTMLメールを見るだけで実行可能ファイルを実行してしまうという深刻なセキュリティーホールを含んでおり、早急な対処が求められている。パッチは英語版だけでなく日本語版を含むさまざまな言語に対応しており、上記のページからダウンロードできる。Nimda、Badtransなどの伝播力の強いウィルスはいずれも既知のセキュリティーホールを利用していたが、パッチを当てていないユーザーが多かったために感染が広がった。新たに見つかるセキュリティーホールに積極的にパッチを当てていくことが、被害を未然に防ぐ重要な一歩となる。

 一つ目のセキュリティーホールは最も深刻なもので、MicrosoftによればIE6.0のみに存在する。これはWebページを見るだけで、もしくはHTMLメールを開くだけでユーザーの了解を得ることなく実行可能ファイルをユーザーのシステム上で実行してしまうという深刻なものだ。同社によると、このセキュリティーホールはIEがHTMLストリームのコンテンツタイプヘッダーを正確に取り扱うことができず、不正確なヘッダーであっても実行してしまうという問題にあるようだ。このセキュリティーホールを悪用することにより本来HTMLファイルであるべきものを実行可能ファイルに置き換えてユーザーに与えてしまうことができる。Microsoftではこのセキュリティーホールに関して「不正確なコンテンツタイプヘッダーを認めないようにすることによって修正した」としている。セキュリティーホールを発見したフィンランドのOnline Solutionsによると、NetscapeやOperaなどのブラウザーではこのセキュリティーホールは存在しないとしている。

 二つ目のセキュリティーホールは、Webサイトが二つのブラウザーウィンドウを開き、1つのウィンドウの中にユーザーのローカルファイルを表示させ、もう1つのブラウザーウィンドウに情報を手渡しすることで情報の漏えいにつながるというセキュリティーホールだ。このバグではWebサイトの管理者がユーザーのローカルファイルの情報を読むことができるが、改変したり削除したりすることができない。このバグはIE5.5とIE6.0に存在する。

 三つ目のセキュリティーホールは、ファイルをサイトからダウンロードする際にダイアログボックスに適切な名前が表示されない場合があるというものだ。これを悪用すると、ダイアログボックスに「.txt」ファイルと表示されても、実行可能な「.exe」ファイルをダウンロードしてしまうことが考えられる。特にファイルを一時的に保存するのではなく、直接ファイルを開くことを選択した場合に、危険な実行可能ファイルを実行してしまう危険性が潜んでいる。このバグもIE5.5とIE6.0に存在する。

 これらのセキュリティーホールが発見された経緯だが、フィンランドのOnline Solutionsが11月19日に、上記の三番目にあげた“ダイアログボックスに適切なファイル名が表示されない”というセキュリティーホールを発見し、Microsoftに通報した。しかしながらMicrosoftはこれをセキュリティーホールであると認めなかったという。Microsoftの議論では、「どのファイルを実行するかはファイルのタイプではなく、ファイルの提供元によって判断されるべきことであり、このバグではファイルの提供元の情報まで改変することができないから、セキュリティーホールではない」という理屈であった。その後11月26日付でOnline Solutionsはこのバグについて同社のWebサイトで公表した。翌日の11月27日にOnline Solutionsは新しいバグ“WebやHTMLメールを閲覧するだけでファイルを実行してしまう”バグを発見しMicrosoftに通報した。このバグは最初に発見されたバグを別の方法で使うことで悪用できるものであるため、実質的に同じバグと見なすこともできるようだ。Microsoftは12月13日付で発表した文書の中で「この問題点を我々に報告し、顧客を保護するために共に働いてくれたことに関してOnline SolutionsのJouko Pynnonen氏に感謝する」との謝辞を付け加えている。

(2001/12/17)

[Reported by taiga@scientist.com]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp