インターネット・エクスプローラの累積パッチ、セキュリティ問題(2)を修正 2008年6月10日
インターネット・エクスプローラの累積パッチ、セキュリティ問題(2)を修正
危険度:高
2008年6月10日
【概要】
・対象:
IE 7及びそれ以前のバージョン
・悪用方法:
悪性のウェブ・ページにユーザーを誘導する。
・影響:
攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる。
・対策:
状況に適したIEのパッチを至急導入すること。
【詳細】
米国時間の6月10日、マイクロソフトが毎月リリースする修正プログラム・アップデートで、同社はインターネット・エクスプローラ(IE)のバージョン5.01、6.0、7.0に影響する2件のセキュリティ脆弱性について説明した。中でも悪質な問題は、IEが特定のHTMLオブジェクトを正確に処理することができず、メモリー破壊を誘発する点に関与している。攻撃者は細工が施された悪性のウェブページにユーザーを誘導し、このメモリー破壊問題を悪用する。そして攻撃者は、ユーザーの権限を備えた状態で、そのユーザーのコンピューターでコードを実行することができるようになる。通常、ウィンドウズ・ユーザーにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピューターを完全に操作することができるようになる。
マイクロソフトは2件目のセキュリティ問題を「クロスドメインの情報開示」問題として説明している。大方、ウェブ・ブラウザーはウェブサイトが別のウェブサイトのコンテンツにアクセスすることを防止するために「same origin policy」つまり、生成元を尊重するセキュリティ対策を課している。このセキュリティ対策により、クロスサイト・スクリプティング攻撃(XSS)のようなクロスサイトやクロスドメイン攻撃などからユーザーを保護することができる。しかし残念ながら、IEは攻撃者がその生成元を尊重するためのポリシーを迂回させてしまうセキュリティ問題の影響を受けている。通常見られるXSS攻撃のように、攻撃者がこのクロスドメイン情報開示の問題を悪用するには、攻撃者は特別に細工したリンクにユーザーを誘導しなければならない。しかし、攻撃者は正当なサイトのもとでスクリプトを実行するのではなく、この脆弱性を利用しても正当なサイトのデータを読み取ることしかできない。しかし機密データを保管するウェブサイトにユーザーが訪れた場合、攻撃者はこの欠陥を利用してそのデータを盗む可能性がある。
IEの修正プログラムは今回報告された欠陥の他に、既知の問題も修正している。
【対策】
このパッチは重要な問題を修正するため、状況に適したIEの修正プログラムをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
ダウンロード先(日本語版)
IE 5.01
IE 6.0
マイクロソフトは98、ME、XP SP1のサポートを打ち切っている。
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium-Edition
IE 7.0
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium-Edition
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium-Edition
ウォッチガード・ユーザー:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザーがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、上記の修正プログラムを導入することが主な対策となる。
【ステータス】
マイクロソフトはこの問題を修正するパッチをリリースした。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-031
・マイクロソフトのセキュリティ更新情報
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度:高
2008年6月10日
【概要】
・対象:
IE 7及びそれ以前のバージョン
・悪用方法:
悪性のウェブ・ページにユーザーを誘導する。
・影響:
攻撃者はユーザーのコンピューターでコードを実行し、そのコンピューターを完全に操作できるようになる。
・対策:
状況に適したIEのパッチを至急導入すること。
【詳細】
米国時間の6月10日、マイクロソフトが毎月リリースする修正プログラム・アップデートで、同社はインターネット・エクスプローラ(IE)のバージョン5.01、6.0、7.0に影響する2件のセキュリティ脆弱性について説明した。中でも悪質な問題は、IEが特定のHTMLオブジェクトを正確に処理することができず、メモリー破壊を誘発する点に関与している。攻撃者は細工が施された悪性のウェブページにユーザーを誘導し、このメモリー破壊問題を悪用する。そして攻撃者は、ユーザーの権限を備えた状態で、そのユーザーのコンピューターでコードを実行することができるようになる。通常、ウィンドウズ・ユーザーにはローカル管理者の権限が与えられているが、その場合、攻撃者は被害者のコンピューターを完全に操作することができるようになる。
マイクロソフトは2件目のセキュリティ問題を「クロスドメインの情報開示」問題として説明している。大方、ウェブ・ブラウザーはウェブサイトが別のウェブサイトのコンテンツにアクセスすることを防止するために「same origin policy」つまり、生成元を尊重するセキュリティ対策を課している。このセキュリティ対策により、クロスサイト・スクリプティング攻撃(XSS)のようなクロスサイトやクロスドメイン攻撃などからユーザーを保護することができる。しかし残念ながら、IEは攻撃者がその生成元を尊重するためのポリシーを迂回させてしまうセキュリティ問題の影響を受けている。通常見られるXSS攻撃のように、攻撃者がこのクロスドメイン情報開示の問題を悪用するには、攻撃者は特別に細工したリンクにユーザーを誘導しなければならない。しかし、攻撃者は正当なサイトのもとでスクリプトを実行するのではなく、この脆弱性を利用しても正当なサイトのデータを読み取ることしかできない。しかし機密データを保管するウェブサイトにユーザーが訪れた場合、攻撃者はこの欠陥を利用してそのデータを盗む可能性がある。
IEの修正プログラムは今回報告された欠陥の他に、既知の問題も修正している。
【対策】
このパッチは重要な問題を修正するため、状況に適したIEの修正プログラムをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
ダウンロード先(日本語版)
IE 5.01
IE 6.0
マイクロソフトは98、ME、XP SP1のサポートを打ち切っている。
Windows 2000
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium-Edition
IE 7.0
Windows XP
Windows XP x64
Windows Server 2003
Windows Server 2003 x64
Windows Server 2003 Itanium-Edition
Windows Vista
Windows Vista x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 Itanium-Edition
ウォッチガード・ユーザー:
こうした攻撃は通常のHTTPトラフィックに見せかけた状態で移動するが、ユーザーがウェブにアクセスできるようにしておくにはHTTPトラフィックを許可しておく必要があるため、上記の修正プログラムを導入することが主な対策となる。
【ステータス】
マイクロソフトはこの問題を修正するパッチをリリースした。
【参考資料】
・マイクロソフトのセキュリティ情報:MS08-031
・マイクロソフトのセキュリティ更新情報
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。