■URL
http://www.solutions.fi/index.cgi/news_2002_09_09?lang=eng
Microsoftの「Internet Explorer(IE)」に付随するMicrosoft製のJava環境に複数の深刻なセキュリティーホールが発見された。このセキュリティーホールを発見したのはフィンランドのOnline Solutions社で、Microsoftはこの問題を認め、現在パッチを準備している最中だという。9日にMicrosoftより発表された「Internet Explorer 6 SP1」では、未対応の問題である。
このセキュリティーホールが悪用されると、IEでWebページを開いた場合、あるいはOutlookでメールを通してWebサイトで閲覧した場合に、そのページに含まれる悪意のJavaアプレットを通して任意のプログラムが実行される可能性がある。OutlookとOutlook Expressの場合、最新のパッチを当てていればセキュリティーゾーンが最高に設定されているためJavaアプレットは実行されない。
今回Online Solutionsは、10種類以上のJavaにまつわるセキュリティーホールを発見し、そのすべてをMicrosoftに対して報告した。その中にはユーザーのシステムのファイルを閲覧できるようにするもの、リソースにアクセスできるもの、任意のプログラムを送り込んで実行させるものなどがあった。こうしたセキュリティーホールは悪用することにより、ファイルを改変したり危険なプログラムをインストールし実行すること、プログラムの削除などができてしまうという。
Online Solutionsの説明によると、これらセキュリティーホールはJavaのネイティブメソッドと関連があり、その誤った利用方法とパラメータ確認のミスにより発生している。またJavaパッケージの中にクラスのアクセス制限が「private」であるべきものが「public」になっているなど、幾つかの論理的な間違いも発見された。
Online Solutionsは、Sun MicrosystemsのJava環境でもこのセキュリティーホールに関する確認を行なったが、Sunのものではセキュリティーホールは発見されなかった。そのためこのセキュリティーホールはMicrosoftが独自に拡張した部分で発生したものだとしている。
このセキュリティーホールに対するパッチが公開されるまでは、IEの設定で、ツール → インターネットオプション → セキュリティー → レベルのカスタマイズで「Microsoft VM」を「Javaを無効にする」に設定することにより問題を回避できる。またJavaプログラムを利用したい場合、この問題に関する安全性が確認されているSunのJava Plug-inを利用するという手段もある。
(2002/9/10)
[Reported by 青木 大我 (taiga@scientist.com)]