IE にセキュリティホール、HTML 形式の Eメール処理に問題

Microsoft は29日、同社の Web ブラウザ Internet Explorer (IE) に、クラッカーが悪意ある Web ページや Eメ ー ルを使って、相手のコンピュータをいじりまわすことのできるセキュリティホールが見つかったと発表した。

この脆弱性は、全ての Windows の、IE5 および IE5.5 に存在する。このセキュリティホールは、スペインの Juan Carlos G. Cuartango 氏が Microsoft に報告したもので、同社はその詳細と対策を説明した、 セキュリティ情報 (訳注) を公開した。

基本的には、HTML 形式の Eメールと、特定の MIME ヘッダーをつけた添付ファイルを使うと、IE がその添付ファイル を実行してしまう、という問題だ。HTML 形式の Eメールというのは、すなわち Web ページなので、IE がこのメール の処理を行う。HTML の各エレメントは、添付ファイルと同様の形式でメッセージに含まれており、IE はそれぞれのパ ートにつけられている、MIME ヘッダーに合わせて処理する。

しかし、通常使われることの無い、ある特定の MIME ヘッダーの処理に問題がある。メールが HTML 形式で、実行プロ グラムが添付してあり、その添付ファイルに問題の MIME ヘッダーがついていると、IE がその HTML メールを表示す る際に、添付してあるプログラムを実行してしまう。

例えば、クラッカーが問題を引き起こす HTML 形式の Eメールを仕込んだ Web ページを作成し、犠牲者がそのページ にアクセスすると、ページに仕込まれたスクリプトを使って、問題の Eメールを開かせ、プログラムを実行することが できる。あるいは単に、問題の Eメールを送ってくる、ということもありうる。ただし、後者の場合はユーザーの許可 を必要とするので、それほど深刻な問題ではない。

本質的にこうした問題は、セキュリティ企業や専門家が、口をすっぱくして警告している言葉に従えば、回避できる可 能性がある。それはすなわち、添付ファイルは開くな、知らない人に誘われても、その Web ページにアクセスするな、 ということだ。

Microsoft もまた、この問題の発表の中で、「一般的にいって、自動的にファイルのダウンロードを始めるような Eメ ールの信頼性を、疑ってかかるということは大事なことだ。最善の対処法は、その際表示されるダイアログで、単にキ ャンセルボタンを押すことだ」としている。

なお、Microsoft によれば、この問題に対処する パッチ (訳注) を用意しているので、心配することは無いという。このパッチは、MIME タイプのリス トと、その処理に関係する IE の一部を修正して、脆弱性を排除する。その結果、Eメールに添付してある実行プログラ ムが、自動的に実行されるのを防ぐ。

訳注： これらのリンクは米 Microsoft へのリンクです。 このリンク先にある情報やパッチが 日本語環境でも有効だという保証はありません。なお、日本でもマイクロソフトが、 この問題の情報ペ ージを作成していますので、そちらをご覧ください。