まだ残っていた IE のドラッグ＆ドロップ機能の脆弱性

この記事のURLhttp://japan.internet.com/webtech/20041021/10.html

Microsoft (NASDAQ:MSFT) はこのほど、Web ブラウザ『Internet Explorer (IE) 6.0』に2つの脆弱性が存在していることを認めた。『Windows XP Service Pack 2』をはじめ、『Windows』の全版が影響を受けるという。

問題の脆弱性は、同社のセキュリティチームが対応に2か月以上費やしたドラッグ＆ドロップ機能の脆弱性から派生したものだ。

新たな脆弱性については、セキュリティ調査会社の Secunia が20日にセキュリティ勧告を公開し、5段階中2番目に高い危険度としている。Web サイトの所有者が2つの脆弱性を組み合わせて悪用すれば、有害なファイルをユーザーのスタートアップフォルダに書き込み、再起動時にこのファイルを実行させる攻撃が可能になるという。

各脆弱性を詳しく見ていくと、まず1つ目は、Windows のセキュリティゾーンでいうところの、インターネットゾーンからローカルゾーンに対して行なうドラッグ＆ドロップ操作について、検証不十分なことが原因で起こる。サイトの画像やファイルに、任意のスクリプトを含んだ悪意ある HTML コードを仕込んでおき、ユーザーがこれをダウンロードすると、ローカルゾーンのセキュリティ設定をかいくぐってスクリプトが実行される恐れがあるという。

2つ目の脆弱性は、セキュリティゾーンの制限エラーで、サイトなどに仕込んだ『HTML Help』コントロールが「特別に細工したインデックス (.hnk) ファイル」を参照することで、ローカルの HTML 文書を実行させる攻撃を可能にする。

Secunia によると、攻撃者がこの2つの脆弱性を突けば、システムの遠隔操作を許す危険もあるという。

同脆弱性の影響の大きさは現時点でははっきりしないが、Microsoft では、影響の大きさに応じて、月例セキュリティ情報で修正プログラムを公開するか、もしくは月例サイクル以外で個別に対応するとしている。

同社は、10月の月例セキュリティ情報と同時に公開した IE の更新プログラム、特にドラッグ＆ドロップ機能の脆弱性に対応した更新プログラムをインストールしたユーザーに対して、インターネットゾーンおよびイントラネットゾーンの、ファイルのドラッグ＆ドロップ、あるいはコピー＆ペーストについて、無効にするか、通知する設定にするよう勧告している。

この方法で、2つの脆弱性を突いた攻撃は回避できるという。

一方、Secunia は「アクティブ スクリプト」を無効にするか、もしくは別のブラウザを使うよう勧告している。アクティブ コンテンツを無効にする方法は、Microsoft の技術情報で確認できる。