Microsoftは2月3日、Internet Explorer 5.01/5.5/6の累積的なセキュリティ修正プログラム「MS04-004」の日本語版を公開した。毎月第2水曜日に実施されている月例のアップデートではなく、深刻度は緊急となっている。対象OSにはWindows NT 4.0 SP6a/2000 SP2以降/XP/Server 2003のほか、Windows 98/98SE/Meも含まれる。
入手はWindows Updateまたは同社ダウンロードセンターから行えるほか、Software Update Services(SUS)やSystems Management Server(SMS)での適用も可能。ファイルサイズは約2.8MBで、インストールを完了させるためには再起動が必要となる。
MS04-004は、「MS03-048」の累積的な修正プログラムなど、これまでInternet Explorer 5.01/5.5/6用としてリリースされているすべての修正プログラムを含んでおり、今回の修正では、以下3点の脆弱性修正プログラムが新たに追加されている。
1) クロスドメインセキュリティモデルに関連する脆弱性
2) イベント中で関数ポインタを使用したドラッグアンドドロップ操作の実行に関連する脆弱性
3) 特別な文字を含むURLの不正確な解析に関連する脆弱性
1)と2)の脆弱性を悪用するには、それを目的としたWebページやHTMLメールをユーザーに表示させることが必要となる。1)では任意のコードが実行される可能性があり、2)では、ユーザーがリンクをクリックすると、ユーザーのコンピュータの標的となる場所にファイルが保存される可能性がある。この際、ユーザーにダウンロードを承認するよう要求するダイアログボックスは表示されない。
3)の脆弱性では、URL の最初の「username:password@」を持つ基本的な認証機能の悪用と組み合わされると、Internet Explorerのアドレスバーに間違ったURLが表示される可能性がある。
今回の修正プログラムは、Internet Explorerの基本認証の機能への変更も含んでおり、HTTPのユーザー名とパスワードの処理、SSLとHTTP、Internet ExplorerのHTTPS URLの処理についてのサポートを削除してしまうので注意が必要となる。例えば以下のようなURL構文がその対象となる。
http(s)://username:password@server/resource.ext
またXMLHTTPでの「username:password@host.com」といったURLへの接続が不許可となってしまうため、同社では現在この問題を解決するプログラムを開発中としている。
このほか、Internet Explorer 6 SP1での変更が改良されており、インターネットセキュリティゾーン内のWebページがローカルコンピュータゾーンに接続されることを防ぐものとなっている。
同社では、クロスドメインの脆弱性とドラッグアンドドロップ操作の脆弱性に関して、Windows Server 2003ではデフォルトのセキュリティ強化の構成設定により防御されるとしている。またOutlook Express 6、Outlook 2002/2003と、セキュリティアップデートが行われているOutlook 98/2000では、HTMLメールを閲覧する際にデフォルト設定では制限付きサイトゾーンで開かれるため、同様に防御される。
またクロスドメインの脆弱性を悪用された場合に取得される可能性があるのは、ユーザーと同じ権限なため、管理者権限で操作が行われているコンピュータでは、より注意が必要となる。
【2月3日 21:20更新】
なお同社によればMS04-004 の修正プログラムを適用した後、ユーザー名とパスワードの入力を行うダイアログボックス表示時に、記憶したはずのユーザー名とパスワードが表示されない現象が確認されているとのこと。
この現象が発生した場合には、すべてのInternet Explorerを終了させた後、再度Internet Explorerを起動し、Internet Explorerを別にもう一つ起動して、後から起動した側でユーザー名とパスワードの入力を行うダイアログボックスを再表示させると記憶したパスワードが表示できる場合があるとのことだ。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
Internet Explorer 用の累積的なセキュリティ修正プログラム
http://www.microsoft.com/japan/technet/security/bulletin/winfeb04.asp
MS04-004適用時に記憶したはずのユーザー名とパスワードが表示されなくなる
http://www.microsoft.com/japan/support/sokuho/default.asp#Record_94
( 岩崎 宰守 )
2004/02/03 11:25
|