IE の VBScript 処理は、Web ページがローカルファイルを読み取ることを可能にする | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

IE の VBScript 処理は、Web ページがローカルファイルを読み取ることを可能にする

国際 海外情報

[翻訳:関谷 麻美]
2002年3月18日

◆概要:
 Internet Explorer では、より充実した閲覧経験を提供するためにフレームが使用されている。設計上、フレームが使用されているあるサイトもしくはドメイン内のスクリプトが、別のサイトもしくはドメイン内のフレームのコンテンツにアクセスすることを禁止する必要がある。しかしドメイン間のアクセスを検証する機能に関連して、IE における VBScript が処理される方法に問題がある。この問題を利用すると、あるドメインのスクリプトがフレーム内の別のドメインのコンテンツにアクセスすることが可能になる。
 悪意のあるユーザーがこの脆弱性を利用して、他のドメインのフレームのコンテンツを抽出し、そのコンテンツを自身の Web サイトに送信することが可能になるだろう。そして、その攻撃者はユーザのローカル・マシン上のファイルを見るか、もしくはユーザがその攻撃者のサイトを去った後に訪れたサードパーティの Web サイトのコンテンツを見ることが可能になる。後者のシナリオでは、最悪の場合、攻撃者はユーザ名、パスワード、あるいはクレジットカード情報などの個人情報を取得する可能性がある。

 どちらの場合においても、ユーザは攻撃者の制御下にあるサイトを訪れるか、もしくは攻撃者が送信した HTML メールを見なければならない。さらに、攻撃者は、ユーザのシステムにあるいずれのファイルの正確な名前や場所も知っている必要がある。そして、攻撃者はテキスト ファイル、HTML ファイル、画像ファイルなどのブラウザ・ウインドウで表示されるファイルのみにアクセスすることができる。

◆詳細:
脆弱なシステム:
- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0

問題を緩和する要因
- この脆弱性は、ファイルを見ることのみに使用される。この脆弱性を利用してファイルを作成、削除、変更、実行することはできなない。
- この脆弱性を使用することにより、攻撃者は画像ファイル、HTML ファイル、テキスト ファイルなどのブラウザ・ウィンドウで開くことが可能なファイルのみを読むことができる。バイナリ ファイル、実行可能ファイル、Word 文書などのような他の種類のファイルを読むことは出来ない。
- ファイルを読み取るために、攻撃者はそのファイルの正確な名前、場所を指定する必要がある。
- Outlook Email Security Update をインストールした Outlook 98 かOutlook 2000、Outlook 2002 または Outlook Express 6 の中のどれかをユーザが使用している場合、電子メールを介した攻撃のシナリオは阻止することが可能だ。

パッチに関する情報
 この問題に対応するパッチを下記の URL からダウンロードすること。
http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp
http://www.microsoft.com/Windowsupdate

この脆弱性の影響範囲は?

 これは、情報漏洩に関する脆弱性だ。この脆弱性を使用することにより、悪意のある Web サイト運営者は Web サイトを訪問しているユーザのローカル・コンピュータ上のファイルを見ることができる。加えて、ユーザが悪質な Webサイトを去った後、悪意のある Web サイト運営者はそのユーザのブラウジング・セッションから情報を収集することもできる。そして、その情報は悪質なWeb サイトへと渡される。その情報には、ユーザ名、パスワードまたはクレジットカード情報などの個人情報が含まれる可能性がある。

 両方のケースにおいて、悪意あるユーザは狙った攻撃対象を悪意のあるユーザの管理下にある Web サイトに誘導する必要がある。ユーザのローカル・マシン上の情報を読み取るには、悪質な Web サイト運営者はユーザのコンピュータにあるファイルの正確な名前および場所を知らなければならない。この脆弱性を利用して、攻撃者はユーザのコンピュータにあるファイルの追加、変更、削除を行うことはできない。

この脆弱性は、何が原因で起こるのか?

 この脆弱性は、フレーム内ドメインでのスクリプトを処理する際の不具合に起因する。その不具合を利用して、スクリプトは Web サイトが別のドメインに属すフレーム内のデータを読み取ることができ、IE の Cross-Domain Security Model を侵害する恐れがある。

スクリプトとは何か?

 スクリプトは、Web 開発者が Web ページのアイテムを操作するために使用される。Web ページのスクリプトの一般的な用途はユーザ入力の確認、ページの制御を伴う動作、そしてユーザとの通信だ。

 デフォルトで、Internet Explorer は VBScript と Jscript の 二つののスクリプト言語をサポートする。Web サイト開発者は、Web サイトでこれらのプログラミング言語を使用することができる。

 さらに、開発者およびサイト運営者は、他のサードパーティのスクリプト言語をサポートすることを選ぶことも可能だ。しかし、それらのスクリプト言語を首尾よく動作させるため、クライアント・システムで正しくインストールする必要がある。

フレームとは何か?

 フレームは、メイン・ブラウザ・ウィンドウのサブウィンドウだ。例えば、フレームを使用してブラウザ・ウィンドウを左側に目次、右側にページを表示して分割することができる。

 しかし、ソフトウェアの観点から見ると、各フレームは個別のウィンドウでその他のウィンドウから独立している。つまり、例えば、ブラウザ内の三つのフレームは、三つの異なるサイトからのコンテンツ、同じサイトの三つの異なる部分からのコンテンツ、もしくは同じそして異なるサイトからのコンテンツの組み合わせを表示することができる。

IE の Cross-Domain Security Model とは何か?

 各フレームは事実上、独立したウィンドウなので、「ドメイン」の概念が導入され、フレームが同じ Web サイトの一部を論理的に全体として取り扱うことが可能になった。例えば、ブラウザが www.microsoft.com からのページを一つのフレーム内で表示し、www.microsoft.com/security からのページを別のフレーム内で表示する場合、それらは同じドメインの部分とみなされる。ブラウザが www.microsoft.com からのページをあるフレーム内で、そして別の Web サイトからのページを別のフレーム内で表示する場合、それらは別のドメインと見なされる。このドメインはセキュリティ境界として使用され、互いに関連のないサイトからのコンテンツを分離し、そして同じ Web サイトからのコンテンツをグループ化する。

 このドメイン・セキュリティ・モデルは、フレーム内のスクリプトのセキュリティを強化するために使用される。設計上、スクリプトは同じドメイン内のフレームで実行することができなければならない。結果、例えば、目次フレームのボタンをクリックすると別のフレーム内の同じ Web サイトからのテキストの表示を操作することができる。さらに、設計上、スクリプトは他のドメインからのフレーム内のコンテンツを操作すべきではない。

スクリプトがドメインで処理される方法にどんな不具合があるのか?

 ドメイン境界が算出される方法に不具合が存在する。この不具合のため、異なるドメインに属するフレームが間違って、同じドメインの部分であると見なされる場合がある。結果、スクリプトがそのドメイン外のフレームで動作することが可能になる。

攻撃者はどのようにこの脆弱性を利用するのか?

 攻撃者はこの脆弱性を利用した Web ページを作成することで、この脆弱性を利用しようとする。そして、攻撃者はこの Web ページを自分が管理するサーバの Web ページにポストするか、あるいは電子メールを介してユーザに Web ページを送信する可能性がある。

なぜ攻撃者は HTML 形式の電子メールを介してこの脆弱性を利用することができるの?

 HTML 形式の電子メールは基本的に電子メールにより送信された Web ページだ。この脆弱性を利用する Web ページを作成し、それを HTML 形式の電子メールとして送信することにより、攻撃者は Web サイトにより実行される攻撃と本質的に同じ攻撃を仕掛けることができる。スクリプトが HTML 形式の電子メールに対して有効である場合、メッセージをダブルクリックするか、またはプレビュー ウィンドウで見ることにより電子メールが開かれ、スクリプトが実行される。

上記に挙げられた電子メール製品の一つを使用しているが、パッチの適用は必要ないのか?

 Outlook Email Security Update、Outlook 2002、Outlook Express 6 は電子メールを介した攻撃のシナリオを阻止する。しかし、マイクロソフトは Webベースの攻撃シナリオの阻止を確実にするため、このパッチのインストールを推奨する。


この脆弱性を利用して、攻撃者は何ができるのか?

 この脆弱性を利用することで攻撃者は、他のドメイン内の他のフレームのコンテンツを操作し、別の Web サイトのフレームからの情報を取り出して攻撃者自身の Web サイトに入れる恐れがある。

 平易に言えば、攻撃者は HTML ページを Web サイトとして表示させたり、または電子メールでユーザーに送信することができる。そして、ユーザのローカル・コンピュータで開かれた情報を含む、他のフレームからの情報を読み取り、そしてその情報を攻撃者の Web サイトに送信できる。これはユーザーが、ブラウザまたは HTML 形式の電子メールを閉じるまで発生する。

この脆弱性は偶発的に発生するか?

 しない。この脆弱性を利用するために Web サイトが行う必要があるステップは、合法的な目的にとって有益であることは非常にまれだ。

この脆弱性の影響を受ける可能性はどの程度か?

 Web サイトを閲覧する習慣により異なる。この脆弱性を利用するためには、攻撃者は狙った攻撃対象を自身の管理下にある Web サイトへ誘導する必要がある。有名且つ専門的に運営されている Web サイトを訪問するユーザは、不明の Web サイトを定期的に訪れるユーザに比べ、危険にさらされる可能性はくい。

 セキュリティ・ゾーン は、閲覧の習慣に基づく危険を管理する非常によい方法だ。セキュリティ・ゾーン を定期的に使用し、有名な信頼されているサイトと不明な信頼されないサイトを区別することを推奨する。

これは Frame Domain Verification の脆弱性の変形のように思えるが、同じものか?

 似ているが、若干の違いがある。それら二つの問題の違いは、各々の問題を引き起こす不具合の場所だ。"Frame Domain Verification" の脆弱性は IE の不具合により発生する。他方、この脆弱性は IE で VBScript が処理される方法に起因する。

VBScript が処理される方法に起因するならば、JScript はこの脆弱性による影響を受けないのか?

 Jscript はこの脆弱性による影響を受けない。

サードパーティのスクリプト言語もこの脆弱性の影響を受けるのか?

 受ける可能性はある。Python、Perl およびその他のサードパーティのスクリプト言語をユーザがインストールしている場合、IE はそのような言語の使用をサポートしない。それらの言語がどのように実装され、そしてそれらの言語がどのように特定のドメインのセキュリティ・チェックを処理しているかにより、この脆弱性の影響を受ける恐れがある。

パッチは、サードパーティのスクリプト言語の脆弱性を解決しているのか?

 していない。IE の将来のサービス・パックにおいてアーキテクチャ的な変更が加えられ、この脆弱性がサードパーティのスクリプト言語の問題とならないことを保証する予定だ。

使用している VBScript のバージョンを知る方法は?

 VBScript.dll ファイルは 二つのソフトウェア製品 (Internet Explorer とMicrosoft Windows Script) に同梱されている。

 IE 6.0 : IE 6.0 を稼動している顧客は、プラットフォームに関係なく、デフォルトで Windows Script 5.6 がインストールされている。Windows Script5.6は IE 6.0 に同梱されている。
 IE 5.5 : IE 5.5 を稼動している顧客は、プラットフォームに関係なく、デフォルトで Windows Script 5.5 がインストールされている。Windows Script5.5 は IE 5.5 に同梱されている。
 IE 5.01 : IE 5.01 を稼動している顧客は、プラットフォームに関係なく、デフォルトでWindows Script 5.1 がインストールされている。

 IE のバージョンを 6.0 または 5.5 にアップグレードしていない顧客は、下記のバージョンの Windows Script を稼動している高い可能性がある。

Windows 2000 : Windows Script 5.1
Win ME : Windows Script 5.5

使用中のバージョンをどのように確認するのか?

 使用中の VBScript のバージョンを確認するには、Explorer で Windows ディレクトリのディレクトリ System32 の VBScript.dll を右クリックし、"プロパティ" を選択することで、VBScript のバージョンをチェックできる。

VBScript のデフォルト・バージョンからアップグレードしたが、どのパッチを適用するのか?

 VBScript のデフォルト・バージョンからアップグレードした場合、インストールしたバージョンに対応するパッチ・バージョンを適用する。

VBScript 5.6 の顧客は、IE 6.0 用のパッチをインストールする必要がある。
VBScript 5.5 の顧客は、IE 5.5 用のパッチをインストールする必要がある。
VBScript 5.1 の顧客は、IE 5.01 用のパッチをインストールする必要がある。

使用しているIE のバージョンに基づいてパッチをインストールしなくてもよいのか?

 ほとんどの場合、IE のバージョンに基づいてパッチをインストールする。VBScript は IE に同梱され、デフォルトで VBScript と IE のバージョンは関連付けられている。

 しかし、VBScript のバージョンを手動でアップグレードした場合、VBScript と IE のバージョンは、一致しなくなる。

 ほとんどの顧客は、VBScript を手動でアップグレードしないので、適用する必要のあるパッチを顧客が識別し易いように、デフォルトの IE バージョンに基づいてパッチを表示した。

パッチは、何を修正するか?

 このパッチは VBScript にドメイン検証処理を設定することで、この脆弱性を修正した。

◆追加情報:
 マイクロソフトは、この問題を我々に報告し、そして顧客を保護するために尽力してくれた Zentai Peter Aron、Ivy Hungary Ltd に感謝する。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

    ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  8. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×