マイクロソフトは3日、2003年12月9日に発見されたInternet Explorer(IE)にURLをスプーフィング(偽装)できる脆弱性など、新たに発見された3種類の脆弱性を修正したIEの累積的修正プログラム(MS04-004)を公開した。現在、同社WebサイトやWindows Updateからダウンロードできる。
MS04-004は、新たに発見された3種類の脆弱性を修正するための修正プログラムで、IE 6/5.5/5.01向けにリリースされた過去の修正プログラムも含んでいる。新たに発見された脆弱性は、「クロスドメインの脆弱性」「ドラッグアンドドロップ操作の脆弱性」「アドレス欄のURLを偽装できる脆弱性」の3種類。
クロスドメインの脆弱性は、別ドメインのウインドウが情報を共有しないようにする機能である、クロスドメインセキュリティモデルに関する脆弱性。この脆弱性を悪用すると、ローカルコンピュータゾーンでスクリプトが実行される可能性がある。悪用されるには、細工を施したWebサイトにユーザーを誘い込むか、HTML形式のメールを表示させる必要がある。
ドラッグアンドドロップ操作の脆弱性は、IEのダイナミックHTMLイベント中に関数ポインタを使用したドラッグアンドドロップ操作を実行した際に発生する脆弱性だ。これが悪用されると、ユーザーがリンクをクリックした際、ユーザーが知らないうちにPC上に攻撃プログラムなどのファイルが保存される可能性があるという。この時、ダウンロードダイアログは表示されない。この脆弱性でも、悪用するためには細工を施したWebサイトにユーザーを誘い込むか、HTML形式のメールを表示させる必要がある。
アドレス欄のURLを偽装できる脆弱性は、「%01」などを含むURLの場合に、本来のURLを「@」直前部分のみのURLとして偽装できるというもの。IEの入力確認エラーが原因で起こる。この脆弱性を悪用することによって、アドレスバーのURLを偽装して個人情報などを不正に引き出すことが可能だ。この脆弱性は、2003年12月9日に発見されて以来、多くのテストサイトが登場しており、1日も早い修正プログラムの登場が望まれていた。
マイクロソフトでは、クロスドメインの脆弱性を最も深刻度の高い“緊急”、ドラッグアンドドロップ操作の脆弱性とアドレス欄のURLを偽装できる脆弱性は上から2番目の“重要”と評価している。対象となるバージョンはIE 6/5.5/5.01。対象OSは、Windows 2003 Server/XP/2000/NT 4.0。
これらの脆弱性を修正するためには、累積的修正プログラム「MS04-004」を適用すればよい。マイクロソフトのWebサイトやWindows Updateからダウンロードできる。ただし、この脆弱性を修正するためのプログラムを適用すると、URLに含まれる「username:password」が利用できなくなるため、適用時には注意が必要だ。
関連情報
■URL
MS04-004
http://www.microsoft.com/japan/technet/security/bulletin/ms04-004.asp
・ IEにURLを偽装できるパッチ未公開の脆弱性が発見される(2003/12/11)
・ 米MS、IEのスプーフィング脆弱性のパッチリリースを計画していると発表(2004/01/28)
・ MS、IEのURLを偽装できる脆弱性の回避策を公開、ただしパッチは未提供(2003/12/17)
・ IE脆弱性を悪用するアドレス詐称サイトに注意!(2003/12/16)
・ マイクロソフト、相次いで発見されたパッチ未公開脆弱性の見解を語る(2003/12/24)
( 大津 心 )
2004/02/03 12:21
- ページの先頭へ-
|