マイクロソフト社がIEの累積パッチをリリース | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.19(土)

マイクロソフト社がIEの累積パッチをリリース

国際 海外情報

◆概要:
 マイクロソフト社のInternet Explorer (IE)ウェブブラウザの最新のパッチは、新たに発見された5つの脆弱性を修正する。中でも最も深刻な脆弱性は、コードの不正実行を可能にするものである。

 最初の脆弱性は、IEに含まれるローカルリソースファイルのクロスサイトスクリプティングバグに関連したもの。問題は、このファイルに入力を正しく検証できないHTMLウェブページが含まれていることである。この欠陥の悪用する攻撃者は、ターゲットユーザーになりすましてローカルコンピューターゾーンでスクリプトを実行できるようになる。さらに攻撃者は、この脆弱性を悪用するURLを含むウェブページを作成し、これをウェブサーバー上でホストするか、HTML対応の電子メールとして送信する。ユーザーがこのウェブページを表示してURLをクリックすると、ローカルリソースに注入されたスクリプトがローカルコンピューターゾーンで実行され、制限の一部を回避できるようになる。Mitre社のCommon Vulnerabilities and Exposures(CVE)の論説委員会では、この脆弱性にCAN-2002-0189の識別番号を付与している。

 2番目の脆弱性は、CSS(Cascading Style Sheet)をサポートする特定のHTMLオブジェクトがローカルシステム上のファイルを呼び出す際の、不適切な処理に起因するもの。問題のオブジェクトは、ローカルファイルシステムのデータを不適切な方法でリモートウェブサイトに返す可能性がある。攻撃者は、この脆弱性を悪用するウェブページを作成して、これをウェブサーバー上でホストするか、HTML対応の電子メールとして送信する。このページを表示すると、オブジェクトの呼び出しが実行される。この問題のCVE識別番号はCAN-2002-0191。

 3番目のバグも、cookie内部のスクリプト処理に関連した情報漏洩バグである。ウェブサイト管理者は、このようなスクリプトを利用して、他のウェブサイトに設定されたcookieを読み込むことができる。管理者は、このようなcookieを作成した上で、このcookieをターゲットユーザーのシステムに送信して呼び出すハイパーリンクを含むウェブページを作成する。さらに、このウェブページを電子メールとして送信するか、ウェブサーバーにポスティングする。ユーザーがこのハイパーリンクをクリックすると、ウェブページがcookieに含まれるスクリプトを呼び出す。この問題のCVE識別番号は、CAN-2002-0192である。

 4つ目のバグは、IEのセキュリティゾーンに関連したもの。具体的には、HTTPの代わりにNetBIOSを使ってアクセスすると、特定の変形ウェブページに関連したエラーが発生する。その結果、悪意のあるウェブページを作成できる攻撃者がこの欠陥を悪用して、ターゲットユーザーのIEの不正なセキュリティゾーンでこのページのレンダリングを実行する。イントラネットゾーンでページが開く場合や、信頼済みサイトのゾーンで開く可能性がある。この問題のCVE識別番号は、CAN-2002-0190。

 5番目と6番目のバグは、ダウンロード可能ファイルのコンテンツ配置およびコンテンツの種類のヘッダーが故意に変形された場合のIEによるダウンロード処理に影響する、既知のバグから派生したものである (ID# 106572, Dec. 14, 2001)。最初の勧告にもあるように、これら2つの派生型は、特定のファイルの安全な自動処理が可能であるとIEに思い込ませるが、実際はこれが悪意のある実行可能コンテンツである可能性がある。意図的に変形したウェブページを作成し、変形した実行可能ファイルをポスティングすることによって、攻撃が可能になる。さらに攻撃者は、このウェブページをポスティングするか、ターゲットユーザーに電子メールで送信する。これらの派生型のCVE識別番号は、CAN-2002-0193およびCAN-2002-0188。

 今回リリースされたパッチは、制限付きサイトゾーンのフレームを無効にする。Outlook電子メールセキュリティアップデートを適用したOutlook Express 6.0、Outlook98およびOutlook 2000と、Outlook 2002は、いずれも制限付きサイトゾーンの電子メールを読み込むようにデフォルト設定されている。そのため、これらの製品では、HTML電子メールのフレームが完全に無効化されることになり、HTML電子メールを使って新規ウィンドウを開いたり、実行可能ファイルのダウンロードを開始したりすることが不可能になる。

◆情報ソース:
・Microsoft Corp.
 ( Security Bulletin MS02-023,
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp ),
 May 15, 2002

◆分析:
(iDEFENSE 米国)最初のバグについては、ローカルドライブ上で操作を実行するユーザーの能力に応じて、攻撃の可能性が制限される。 たとえば、ユーザーがファイルシステム上のデータの削除やIEのセキュリティ設定変更の許可を持たない場合は、スクリプトによるこれらの操作も禁止されることになる。

 2つ目のバグの悪用により、攻撃者はシステム上に保存された機密情報を収集できるが、これ以上の攻撃は不可能である。ユーザーのシステム上にあるファイルの正確な名前と場所を知らなければ、攻撃者がファイルを読み込むことはできない。さらに、ターゲットファイルに単一および特定のASCII 文字が含まれていることも条件である。

 悪意のあるウェブサイト管理者は、第3のバグを利用して、他のウェブサイトに保存されているcookieを表示することができる。

 攻撃者が実際にアクセスできる情報は、ウェブサイト上のcookieに保存されている情報によって異なる。攻撃者には、この情報に加えて、ターゲットとするcookieの正確な名前も必要である。cookieに機密情報を保存しないことが最良の策である。さらに、攻撃者がこの脆弱性を利用するためには、ユーザーがハイパーリンクをクリックするように仕組む必要がある。

 最初の3つのバグに関しては、制限付きサイトゾーンでメールを読むユーザーがHTML電子メールを使った攻撃の影響を受けることはない。Outlook 98および2000(Outlook電子メールセキュリティアップデートをインストールしたもの)、Outlook2002 およびOutlook Express 6は、いずれも制限付きサイトゾーンでHTML電子メールを開く。 そのため、ユーザーが電子メールを使った攻撃を受けるリスクはない。また、Service Pack 1 をインストールし、テキスト形式で表示するオプションを有効にしているOutlook 2002のユーザーも、HTML電子メール攻撃の影響を受けることはない。これは、テキスト表示機能の利用によって、表示された電子メールの全てのHTMLエレメント(スクリプトを含む)が無効になるためである。

 4番目の脆弱性を使った攻撃を成功させるためには、ユーザーと攻撃者のウェブサイト間のNetBIOS接続が必要である。ISPやファイアウォールの境界でのNetBIOSのフィルタリングによって、攻撃を防止できる。さらに、ウェブサイトを信頼済みサイトゾーンでレンダリングするには、ターゲットユーザーによるカスタム設定についての知識が必要になるため、攻撃がさらに難しくなる。

 4番目と5番目の新型亜種のバグを利用してシステムを攻撃するためには、変形したコンテンツを誤って引き渡した後、ただちにエラーを表示する代わりに、これをオペレーティングシステムに返送するためのアプリケーションが必要になる。攻撃を成功させるためには、ターゲットユーザーのシステムにこのようなアプリケーションがインストールされていなければならない。

◆検知方法:
 以下の表は、IEバージョンと、それぞれに影響するバグをまとめたものである。

 CVE Number  IE 5.01 SP2 / IE 5.5 SP1 / IE 5.5 SP2 / IE 6.0
CAN-2002-0189   No      No      No     Yes
CAN-2002-0191   Yes      Yes     Yes    Yes
CAN-2002-0192   No      Yes     Yes    Yes
CAN-2002-0190   Yes      Yes     Yes    Yes
CAN-2002-0193   Yes      No      No     Yes
CAN-2002-0188   Yes      No      No     Yes

◆ベンダー情報:
 前述の問題を修正するパッチは、
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
で提供されている。IE 5.01のパッチは、SP2をインストールしたWindows 2000システムと、SP6aをインストールしたWindows NT 4.0システムに適用できる。IE 5.01 SP2 の問題の修正は、Windows 2000 SP3に追加される予定。IE 5.5用のパッチは、SP1またはSP2を適用したIE 5.5を利用するシステムにインストールできる。 また、IE 6.0用のパッチは、IE6.0 Goldを使用するシステムにインストール可能であり、IE 6.0 SP1に追加される予定。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【16:53 GMT、05、16、2002】


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×