Windows HotFix Briefings

Outlook Express、IEに重大なセキュリティ・ホール(MS03-014/MS03-015)

―― 攻撃者によるファイルの読み取り、プログラム/スクリプト実行が可能に ――

DA Lab Windowsセキュリティ
2003/04/29

 2003年4月25日、マイクロソフトは、Outlook ExpressのHTML形式メールの処理におけるセキュリティ・ホールを含むOutlook Express向けの累積的な修正プログラム(マイクロソフト・セキュリティ情報番号:MS03-014)、およびInternet Explorer(以下IE)の新たな4つのセキュリティ・ホールを解消するための累積的な修正プログラム(MS03-015)を発表した。これらはいずれも「緊急」扱いのもので、脆弱性を悪用することで、攻撃者はユーザーのコンピュータ上にあるファイルを読み取ったり、任意のスクリプトやプログラムを実行したりできるようになる。管理者は早急な対策が必要である。

 どちらも「累積的な修正プログラム」とされているが、これは過去のセキュリティ・ホールをまとめて修正するというだけでなく、今回新たに発見されたセキュリティ・ホールの修正も含まれているので十分に注意したい。

MS03-014/330994
Outlook ExpressのHTMLメール処理機能に重大なセキュリティ・ホール


セキュリティ・ホールの概要と影響度

 今回発見されたセキュリティ・ホールは、MHTML形式でエンコードされたHTML形式の電子メールなどをOutlook Expressが表示する際に利用するURLハンドラの処理に起因するものだ。MHTML(MIME Encapsulation of Aggregate HTML)は、Webページ(HTMLコンテンツ)とその中で参照されている画像などのデータをまとめて扱うための標準仕様であり、Webページの内容を単一ファイルとして保存したり、電子メールに添付して簡単に送付したりすることができる(RFC2557で定義されている)。このセキュリティ・ホールを悪用することで、攻撃者はユーザーのコンピュータ上のファイルを読み取ったり、プログラムをローカル・コンピュータ・ゾーンで起動したりできるようになる。

 ローカル・コンピュータ・ゾーンは、ユーザーのローカル・コンピュータ上に存在するプログラムの実行などで使用される暗黙的なセキュリティ・ゾーンのことである。このゾーンでは、実行されたスクリプトやプログラムが、コンピュータ上のファイルにアクセスしたり、操作したりすることが(デフォルトでは)許可されている。従ってこのセキュリティ・ホールを放置すると、システム破壊や情報漏えいなどにつながるシステム上の弱点となる恐れがある。

 このセキュリティ・ホールの影響を受けるのは、IEとともにインストールされるOutlook Express(5.01 SP3、5.5 SP2、6、6 SP1)のみである。Microsoft Officeに同梱されるOutlookは直接的な影響は受けない。

 ユーザーの環境によっては、WebブラウザとしてIEは使っているが、メール・ソフトウェアはOutlook Express以外を使っているという場合もあるだろう。このようにOutlook Expressを使っていない場合でも、Windows環境ではOutlook Expressがインストールされている可能性が高い。この場合には、今回のセキュリティ・ホールの影響を受ける。というのも、IEがMHTML形式のWebページを表示する際には、今回のセキュリティ・ホールであるOutlook ExpressのURLハンドラを利用するからだ。実質的には、ほとんどのWindowsコンピュータが対象となるだろう。

セキュリティ・ホールの詳細

 MHTMLは、HTML形式のデータをメールで送受信するためのMIME構造である。Outlook ExpressのMHTML URLハンドラは、データ内にURLが存在したときに、それをURLとして個別の処理を行う。このMHTML URLハンドラにセキュリティ・ホールが存在し、テキスト・ファイルをHTMLファイルとして参照することが可能になっている。これを悪用すると、攻撃用のスクリプト・コードを含むテキスト・ファイルを作成しておき、これをHTMLファイルとしてIEコンポーネントなどに表示させることで、スクリプトを実行できる。

 ユーザーのローカル・コンピュータに直接、攻撃用のファイルを組み込めない場合でも、攻撃用のWebページをインターネットに準備したり、攻撃用ファイルを電子メールに添付して送りつけたりすることで、ユーザーのコンピュータ内にあるファイルを読み取ったり、起動したりすることが可能になる。

注意事項

 本件に関するマイクロソフトのTechNetセキュリティ情報を見ると、問題を緩和する要素として、MS03-004(IEの累積的な修正プログラム)の適用を推奨している。MS03-004には、攻撃者がリモートからプログラムを実行しようとするときに、実行可能ファイルにパラメータを渡すことを防止する修正が加えられている。これを組み込むことで、プログラムは起動されても、攻撃者の任意のパラメータは渡せなくなるので、問題を回避できるというわけだ。

 ただしこのMS03-004は、IE 6.0 SP1に適用すると、IEの基本認証機能が正しく機能しなくなるなど、複数の問題が発生することがマイクロソフトによって正式に確認されている。

 上記のページを読むと分かるが、これらの問題点は、次に述べるMS03-015として提供されたIE向けの累積的な修正プログラムで解消されるという。従って少々分かりにくいのだが、MS03-004をすでに適用している場合、あるいはこれから適用しようとする場合には、同時に次のMS03-015の適用も忘れずに行う必要がある(MS03-015の詳細については、本稿の後半を参照)。なお、すでにMS03-004を適用している場合でも、MS03-004のアンインストールは不要であり、そのままMS03-015を適用しても問題はない。

セキュリティ・ホールの影響を受ける環境

 今回のセキュリティ・ホールによって影響を受けるのは、以下の環境である。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 Windows 2000 SP3+IE 5.01 SP3
Outlook Express 5.5 Windows 98 SE/Me/NT 4.0 SP6a/2000 SP2/2000 SP3+IE 5.5 SP2
Outlook Express 6 Windows XP SP未適用+IE 6
Outlook Express 6 ServicePack 1 Windows 98/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/XP SP1/XP SP1a+IE 6 SP1

修正プログラムの適用テスト

 DA Labでは、今回のセキュリティ・ホールの影響を受けるすべてのプラットフォームのうち、Windows NT 4.0/2000/XPに関するものを検証施設内にて再現し、修正プログラムの適用テストを実施して、問題なく適用が完了する(致命的なエラーなどが引き起こされない)ことを確認した(DA Labの詳細は「DA Labとは?」を参照)。ただしこのテストは、あくまで修正プログラムの適用を実施し、その結果をお知らせしているだけであり、修正プログラム自体の機能性(セキュリティ・ホールが本当に解消されているかどうか)を検証するものではないので注意されたい。

■情報リンク
 ・マイクロソフト・セキュリティ情報:M03-014

 
MS03-015/813489
ユーザーのコンピュータ上で任意のコードが実行可能になるなど、新たに確認されたIEの4つのセキュリティ・ホール


セキュリティ・ホールの概要と影響度

 MS03-015は、IEに関して新たに発見された4つのセキュリティ・ホールを解消する累積的な修正プログラムである。これらはいずれも重大なもので、IEのすべてのユーザーに影響を及ぼす。具体的には、これらのセキュリティ・ホールを悪用することで、攻撃者はユーザーのシステム上で任意のコードを実行したり、ユーザーのコンピュータにあるファイルをWebサーバにアップロードしたりできる。今回提供された修正プログラムには、これらの新しいセキュリティ・ホールへの対策に加え、IE 5.01/5.5/6用として過去にリリースされたすべての修正プログラムの機能が含まれている。

 新規に確認されたセキュリティ・ホールは以下の4つである。

■Urlmon.dllのバッファ・オーバーランの問題
 IEがWebサーバから受け取った情報の通信リクエストのパラメータを適切にチェックしないことによるセキュリティ・ホール。これを悪用することで、ユーザーが攻撃者のWebサイトを単に訪問しただけでIEが異常終了し、ユーザーのコンピュータ上で任意のコードが実行される可能性がある。この際、攻撃者のプログラムは、そのときログオンしているユーザーの権限で実行される。

■スクリプトからの入力をIEファイル・アップロード・コントロールに渡す際の問題
 コントロールが受信するファイル・アップロードのリクエストを処理する際のパラメータ ・チェックに問題がある。これを悪用することで、ユーザーのコンピュータ上にあるファイルを、攻撃者のWebサーバにユーザーの操作なしでアップロードすることが可能になる。つまり、ユーザーのハードディスク上にあるファイルが盗まれる危険性がある。このセキュリティ・ホールを悪用するには、攻撃者は何らかの方法で攻撃を仕掛けたWebページにユーザーを誘導し、なおかつハードディスク上のファイルの正確な場所とファイル名を知っている必要がある。

■IEがサードパーティ製プライグンに対応したファイルを表示(レンダリング)する方法に存在する問題
 IEにインストールされたサードパーティ製プラグイン用のファイルを開く場合に、そのファイルをブラウザで表示する際のパラメータ・チェックに問題がある。これを悪用することで、攻撃者のスクリプトがユーザーの「ローカル・コンピュータ・ゾーン」で実行される危険性がある。ユーザーがIEの「インターネット・ゾーン」や「イントラネット・ゾーン」に対してスクリプト実行を禁止している場合でも攻撃が可能である。

■IEのモーダル・ダイアログ処理に存在する問題
 IEがモーダル・ダイアログ(それが表示されている間、別のウィンドウをアクティブにできない種類のダイアログ)を作成する際に使用する特定のパラメータに対し、長さや内容などをチェックしないものがあるために起きるセキュリティ・ホール。これを悪用することで、ユーザーが攻撃者のWebページを訪問したときに、ダイアログが作成されるような特定のコマンドが実行され、そのダイアログにより、ローカル・コンピュータ上のファイルにアクセスするスクリプトが自動的に実行されて、ユーザーのファイルが盗まれる可能性がある。ただしこのセキュリティ・ホールを利用して攻撃する場合、攻撃者は攻撃手段を仕掛けたWebページにユーザーを誘導し、なおかつハードディスク上のファイルの正確な場所とファイル名を知る必要がある。

注意事項

 このMS03-015は累積的な修正プログラムで、内部には以前に公開されたIE向けの累積的な修正プログラム(MS03-004)を包含している。前述したとおりMS03-004は、IE6.0 SP1に適用すると、いくつかの不具合が発生することがマイクロソフトによって確認されている(マイクロソフト サポート技術情報:814895)。しかし今回提供されたMS03-015を適用することで、これらの不具合も解決するとマイクロソフトは説明している。

セキュリティ・ホールの影響を受ける環境

 今回のセキュリティ・ホールによって影響を受けるのは、以下の環境である。

影響を受けるソフトウェア 対象プラットフォーム
Internet Explorer 5.01 Windows 2000 SP3+IE 5.01 SP3
Internet Explorer 5.5 Windows 98 SE/Me/NT 4.0 SP6a/2000 SP3+IE 5.5 SP2
Internet Explorer 6 Windows XP SP未適用+IE 6
Internet Explorer 6 ServicePack 1 Windows 98/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/XP SP1/XP SP1a+IE 6 SP1

修正プログラムの適用テスト

 DA Labでは、今回のセキュリティ・ホールの影響を受けるすべてのプラットフォームのうち、Windows NT 4.0/2000/XPに関するものを検証施設内にて再現し、修正プログラムの適用テストを実施して、問題なく適用が完了することを確認した(DA Labの詳細は「DA Labとは?」を参照)。ただしこのテストは、あくまで修正プログラムの適用を実施し、その結果をお知らせしているだけであり、修正プログラム自体の機能性(セキュリティ・ホールが本当に解消されているかどうか)を検証するものではないので注意されたい。

 前述のとおりマイクロソフトは、今回のMS03-015によって、MS03-004での不具合はすべて解消したと述べている。すべての不具合に関する系統的なテストは実施できなかったが、なかでも最も影響が大きいと思われる「Outlook Expressで電子メールを新規作成する際に、ほかのアプリケーションより文章を引用して貼り付けるとエラーが発生する」という不具合について簡単に検証してみた。この結果マイクロソフトの主張どおり、少なくともこの不具合は解消されていた(サポート技術情報「MS03-004 適用後 Outlook Express が正しく動作しない(814803)」)。原因は、MS03-004で提供されたmshtml.dllに不具合が含まれているためであるが、このファイルはMS03-015においてより新しいバージョンに更新されていた。

■情報リンク
 ・マイクロソフト・セキュリティ情報:M03-015

 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間