【セキュリティー】

〜Online Solutionsが報告、Microsoftはパッチを準備中

Internet ExplorerのJava環境にセキュリティーホール

■URL
http://www.solutions.fi/index.cgi/news_2002_09_09?lang=eng

 Microsoftの「Internet Explorer(IE)」に付随するMicrosoft製のJava環境に複数の深刻なセキュリティーホールが発見された。このセキュリティーホールを発見したのはフィンランドのOnline Solutions社で、Microsoftはこの問題を認め、現在パッチを準備している最中だという。9日にMicrosoftより発表された「Internet Explorer 6 SP1」では、未対応の問題である。

 このセキュリティーホールが悪用されると、IEでWebページを開いた場合、あるいはOutlookでメールを通してWebサイトで閲覧した場合に、そのページに含まれる悪意のJavaアプレットを通して任意のプログラムが実行される可能性がある。OutlookとOutlook Expressの場合、最新のパッチを当てていればセキュリティーゾーンが最高に設定されているためJavaアプレットは実行されない。

 今回Online Solutionsは、10種類以上のJavaにまつわるセキュリティーホールを発見し、そのすべてをMicrosoftに対して報告した。その中にはユーザーのシステムのファイルを閲覧できるようにするもの、リソースにアクセスできるもの、任意のプログラムを送り込んで実行させるものなどがあった。こうしたセキュリティーホールは悪用することにより、ファイルを改変したり危険なプログラムをインストールし実行すること、プログラムの削除などができてしまうという。

 Online Solutionsの説明によると、これらセキュリティーホールはJavaのネイティブメソッドと関連があり、その誤った利用方法とパラメータ確認のミスにより発生している。またJavaパッケージの中にクラスのアクセス制限が「private」であるべきものが「public」になっているなど、幾つかの論理的な間違いも発見された。

 Online Solutionsは、Sun MicrosystemsのJava環境でもこのセキュリティーホールに関する確認を行なったが、Sunのものではセキュリティーホールは発見されなかった。そのためこのセキュリティーホールはMicrosoftが独自に拡張した部分で発生したものだとしている。

 このセキュリティーホールに対するパッチが公開されるまでは、IEの設定で、ツール → インターネットオプション → セキュリティー → レベルのカスタマイズで「Microsoft VM」を「Javaを無効にする」に設定することにより問題を回避できる。またJavaプログラムを利用したい場合、この問題に関する安全性が確認されているSunのJava Plug-inを利用するという手段もある。

(2002/9/10)

[Reported by 青木 大我 (taiga@scientist.com)]

ほかの記事はこちらから

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 Impress Corporation All rights reserved.