Windows HotFix Briefings
(2006年5月12日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2006/05/12

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[月例セキュリティ情報]
マイクロソフト、5月度の月例セキュリティ情報を公開

 2006年5月10日、マイクロソフトは5月度の月例セキュリティ情報を公開し、修正プログラムの提供を開始した。公開されたセキュリティ情報はMS06-018〜020の3件で、最大深刻度は緊急(1)レベルが2件、警告(3)レベルが1件となっている。

 これらの修正プログラムに関する詳報は、2006年5月16日版のHotFix ALERTでお伝えする予定である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Internet Explorerにセキュリティ・ダイアログをバイパスする脆弱性
情報の内容 脆弱性情報
情報ソース Matthew Murphy氏
報告日 2006/04/26
対象環境 Internet Explorer

 Matthew Murphy氏は、Internet Explorer(IE)において、セキュリティ・ダイアログ表示がバイパスされる脆弱性が存在することを2006年4月26日に報告した。

 報告によれば、IEでActiveXコントロールなどのインストール/実行を許可するためのセキュリティ・ダイアログを表示する過程で競合状態が発生すると、セキュリティ・ダイアログ上でユーザーが意図せぬボタンをクリックしてしまう脆弱性があるという。この脆弱性が悪用されると、細工されたWebページ上でクリックしたりキーボード操作を行うだけで、情報が窃取されたり、ログオンしているユーザーの権限で攻撃コードがインストール/実行されたりするなどの危険性がある。

 現時点では、この脆弱性に対するマイクロソフトからの正式な報告や修正プログラムの提供は行われていない。実証コードがすでに作成されていることから、危険度が高まっている。不審なWebページを開かない、Administrators/Power Users権限でログオンしない、といった運用上の注意が必要である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Internet ExplorerのXMLHttpRequest処理の脆弱性により情報漏えいが起きる
情報の内容 脆弱性情報
情報ソース セキュリティ・ベンダ各社
報告日 2006/04/27
対象環境 Internet Explorer

 codedreamer氏は、Internet Explorer(IE)のXMLHttpRequestオブジェクトの処理に情報漏えいの脆弱性が存在することを2006年4月27日に報告した。

 この脆弱性は、「mhtml:」URIハンドラのリダイレクトのエラーが原因だという。この脆弱性が悪用されると、本来アクセスしているWebサイトとは異なるサイトのドキュメントにアクセスしてしまうため、個人情報が窃取されるなどの危険性がある。

 この脆弱性を報告したSecuniaは実証コードとテスト用Webページを公開している。下記サイトの「Test Now - Left Click On This Link」をクリックすると、脆弱性があるかどうかをダイアログで表示する。DA Labで検証したところ、Windows XP SP2で脆弱性の存在を確認した。Windows 2000 SP4+IE 6 SP1、Windows XP SP1a+IE 6 SP1では脆弱性を確認できなかった。

 現時点では、この脆弱性に対するマイクロソフトからの正式な報告や修正プログラムの提供は行われていない。実証コードがすでに公開されていることから、悪用の危険度が高まっている。不審なWebページを開かないといった運用上の注意が必要である。

■HotFix Report BBS関連スレッド

 
[脆弱性情報]
Outlook 2003のmailto:ハンドラに、ファイルが自動的に添付される脆弱性
情報の内容 脆弱性情報
情報ソース セキュリティ・ベンダ各社
報告日 2006/04/20
対象環境 Outlook 2003

 Inge Henriksen氏は、Outlook 2003の「mailto:」URIハンドラの処理に脆弱性が存在することを2006年4月20日に報告した。

 報告によれば、Outlook 2003が細工された「mailto:」URIハンドラを処理すると、指定されたローカル・パスにあるファイルを自動的に添付してしまうというものだ。その際に、Outlook 2003はユーザーにファイルを添付する許可を求めるメッセージなどは表示しない。

 現時点では、この脆弱性に対するマイクロソフトからの正式な報告や修正プログラムの提供は行われていない。実証コードがすでに公開されており、またその攻撃手法が容易であるため、悪用の危険性が高い。電子メールは新規に作成してメール・アドレスを手動で入力する、不要なファイルが添付されていないか送信前に確認する、といった運用上の注意が必要である。

 
[脆弱性情報]
脆弱性を解消したFirefox 1.5.0.3の提供開始
情報の内容 脆弱性情報
情報ソース Mozilla Foundation
報告日 2006/05/02
対象環境 Firefox 1.5〜1.5.0.2

 Mozilla Foundationは、Firefox 1.5〜1.5.0.2で発見された脆弱性を解消したFirefox 1.5.0.3を2006年5月2日にリリースした。

 報告された脆弱性は、designModeが有効時に削除されたコントローラ・コンテキストの利用を試みると、メモリの破損が発生してブラウザが異常終了するというものだ。Mozilla Foundationのセキュリティ・アドバイザリ(MFSA)の危険度表記では「高」となっており、状況によっては任意のコードが実行される危険性もあるという。

 また、公開されたFirefox 1.5.0.3にもハンドラ処理の問題から任意のコードを実行してしまう脆弱性が懸念されている。Mozilla Foundationでは、次期バージョンであるFirefox 1.5.0.4を2006年5月22日の週に公開することを示唆している。

 現時点では、この新たな脆弱性に関するMozilla Foundationからの正式な報告や修正プログラムの提供は行われていない。だが、すでに実証コードが公開されていることから、より詳細な技術情報が公開される可能性がある。Firefox 1.5以上を利用している場合には、自動更新機能を有効にして最新バージョンの公開を素早くチェックできるようにした方がよい。修正版が公開されるまでは、JavaScriptを無効に設定することで、この脆弱性を回避できる。

■HotFix Report BBS関連スレッド

 
そのほかの不具合情報、追加情報

[マイクロソフト]

  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間