マイクロソフト社がIEの累積パッチをリリース | ScanNetSecurity
2025.02.28(金)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

マイクロソフト社がIEの累積パッチをリリース

◆概要:
 マイクロソフト社のInternet Explorer (IE)ウェブブラウザの最新のパッチは、新たに発見された5つの脆弱性を修正する。中でも最も深刻な脆弱性は、コードの不正実行を可能にするものである。

国際
8 views
◆概要:
 マイクロソフト社のInternet Explorer (IE)ウェブブラウザの最新のパッチは、新たに発見された5つの脆弱性を修正する。中でも最も深刻な脆弱性は、コードの不正実行を可能にするものである。

 最初の脆弱性は、IEに含まれるローカルリソースファイルのクロスサイトスクリプティングバグに関連したもの。問題は、このファイルに入力を正しく検証できないHTMLウェブページが含まれていることである。この欠陥の悪用する攻撃者は、ターゲットユーザーになりすましてローカルコンピューターゾーンでスクリプトを実行できるようになる。さらに攻撃者は、この脆弱性を悪用するURLを含むウェブページを作成し、これをウェブサーバー上でホストするか、HTML対応の電子メールとして送信する。ユーザーがこのウェブページを表示してURLをクリックすると、ローカルリソースに注入されたスクリプトがローカルコンピューターゾーンで実行され、制限の一部を回避できるようになる。Mitre社のCommon Vulnerabilities and Exposures(CVE)の論説委員会では、この脆弱性にCAN-2002-0189の識別番号を付与している。

 2番目の脆弱性は、CSS(Cascading Style Sheet)をサポートする特定のHTMLオブジェクトがローカルシステム上のファイルを呼び出す際の、不適切な処理に起因するもの。問題のオブジェクトは、ローカルファイルシステムのデータを不適切な方法でリモートウェブサイトに返す可能性がある。攻撃者は、この脆弱性を悪用するウェブページを作成して、これをウェブサーバー上でホストするか、HTML対応の電子メールとして送信する。このページを表示すると、オブジェクトの呼び出しが実行される。この問題のCVE識別番号はCAN-2002-0191。

 3番目のバグも、cookie内部のスクリプト処理に関連した情報漏洩バグである。ウェブサイト管理者は、このようなスクリプトを利用して、他のウェブサイトに設定されたcookieを読み込むことができる。管理者は、このようなcookieを作成した上で、このcookieをターゲットユーザーのシステムに送信して呼び出すハイパーリンクを含むウェブページを作成する。さらに、このウェブページを電子メールとして送信するか、ウェブサーバーにポスティングする。ユーザーがこのハイパーリンクをクリックすると、ウェブページがcookieに含まれるスクリプトを呼び出す。この問題のCVE識別番号は、CAN-2002-0192である。

 4つ目のバグは、IEのセキュリティゾーンに関連したもの。具体的には、HTTPの代わりにNetBIOSを使ってアクセスすると、特定の変形ウェブページに関連したエラーが発生する。その結果、悪意のあるウェブページを作成できる攻撃者がこの欠陥を悪用して、ターゲットユーザーのIEの不正なセキュリティゾーンでこのページのレンダリングを実行する。イントラネットゾーンでページが開く場合や、信頼済みサイトのゾーンで開く可能性がある。この問題のCVE識別番号は、CAN-2002-0190。

 5番目と6番目のバグは、ダウンロード可能ファイルのコンテンツ配置およびコンテンツの種類のヘッダーが故意に変形された場合のIEによるダウンロード処理に影響する、既知のバグから派生したものである (ID# 106572, Dec. 14, 2001)。最初の勧告にもあるように、これら2つの派生型は、特定のファイルの安全な自動処理が可能であるとIEに思い込ませるが、実際はこれが悪意のある実行可能コンテンツである可能性がある。意図的に変形したウェブページを作成し、変形した実行可能ファイルをポスティングすることによって、攻撃が可能になる。さらに攻撃者は、このウェブページをポスティングするか、ターゲットユーザーに電子メールで送信する。これらの派生型のCVE識別番号は、CAN-2002-0193およびCAN-2002-0188。

 今回リリースされたパッチは、制限付きサイトゾーンのフレームを無効にする。Outlook電子メールセキュリティアップデートを適用したOutlook Express 6.0、Outlook98およびOutlook 2000と、Outlook 2002は、いずれも制限付きサイトゾーンの電子メールを読み込むようにデフォルト設定されている。そのため、これらの製品では、HTML電子メールのフレームが完全に無効化されることになり、HTML電子メールを使って新規ウィンドウを開いたり、実行可能ファイルのダウンロードを開始したりすることが不可能になる。

◆情報ソース:
・Microsoft Corp.
 ( Security Bulletin MS02-023,
http://www.microsoft.com/technet/security/bulletin/MS02-023.asp ),
 May 15, 2002

◆分析:
(iDEFENSE 米国)最初のバグについては、ローカルドライブ上で操作を実行するユーザーの能力に応じて、攻撃の可能性が制限される。 たとえば、ユーザーがファイルシステム上のデータの削除やIEのセキュリティ設定変更の許可を持たない場合は、スクリプトによるこれらの操作も禁止されることになる。

 2つ目のバグの悪用により、攻撃者はシステム上に保存された機密情報を収集できるが、これ以上の攻撃は不可能である。ユーザーのシステム上にあるファイルの正確な名前と場所を知らなければ、攻撃者がファイルを読み込むことはできない。さらに、ターゲットファイルに単一および特定のASCII 文字が含まれていることも条件である。

 悪意のあるウェブサイト管理者は、第3のバグを利用して、他のウェブサイトに保存されているcookieを表示することができる。

 攻撃者が実際にアクセスできる情報は、ウェブサイト上のcookieに保存されている情報によって異なる。攻撃者には、この情報に加えて、ターゲットとするcookieの正確な名前も必要である。cookieに機密情報を保存しないことが最良の策である。さらに、攻撃者がこの脆弱性を利用するためには、ユーザーがハイパーリンクをクリックするように仕組む必要がある。

 最初の3つのバグに関しては、制限付きサイトゾーンでメールを読むユーザーがHTML電子メールを使った攻撃の影響を受けることはない。Outlook 98および2000(Outlook電子メールセキュリティアップデートをインストールしたもの)、Outlook2002 およびOutlook Express 6は、いずれも制限付きサイトゾーンでHTML電子メールを開く。 そのため、ユーザーが電子メールを使った攻撃を受けるリスクはない。また、Service Pack 1 をインストールし、テキスト形式で表示するオプションを有効にしているOutlook 2002のユーザーも、HTML電子メール攻撃の影響を受けることはない。これは、テキスト表示機能の利用によって、表示された電子メールの全てのHTMLエレメント(スクリプトを含む)が無効になるためである。

 4番目の脆弱性を使った攻撃を成功させるためには、ユーザーと攻撃者のウェブサイト間のNetBIOS接続が必要である。ISPやファイアウォールの境界でのNetBIOSのフィルタリングによって、攻撃を防止できる。さらに、ウェブサイトを信頼済みサイトゾーンでレンダリングするには、ターゲットユーザーによるカスタム設定についての知識が必要になるため、攻撃がさらに難しくなる。

 4番目と5番目の新型亜種のバグを利用してシステムを攻撃するためには、変形したコンテンツを誤って引き渡した後、ただちにエラーを表示する代わりに、これをオペレーティングシステムに返送するためのアプリケーションが必要になる。攻撃を成功させるためには、ターゲットユーザーのシステムにこのようなアプリケーションがインストールされていなければならない。

◆検知方法:
 以下の表は、IEバージョンと、それぞれに影響するバグをまとめたものである。

 CVE Number  IE 5.01 SP2 / IE 5.5 SP1 / IE 5.5 SP2 / IE 6.0
CAN-2002-0189   No      No      No     Yes
CAN-2002-0191   Yes      Yes     Yes    Yes
CAN-2002-0192   No      Yes     Yes    Yes
CAN-2002-0190   Yes      Yes     Yes    Yes
CAN-2002-0193   Yes      No      No     Yes
CAN-2002-0188   Yes      No      No     Yes

◆ベンダー情報:
 前述の問題を修正するパッチは、
http://www.microsoft.com/windows/ie/downloads/critical/Q321232/default.asp
で提供されている。IE 5.01のパッチは、SP2をインストールしたWindows 2000システムと、SP6aをインストールしたWindows NT 4.0システムに適用できる。IE 5.01 SP2 の問題の修正は、Windows 2000 SP3に追加される予定。IE 5.5用のパッチは、SP1またはSP2を適用したIE 5.5を利用するシステムにインストールできる。 また、IE 6.0用のパッチは、IE6.0 Goldを使用するシステムにインストール可能であり、IE 6.0 SP1に追加される予定。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【16:53 GMT、05、16、2002】


《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×