.

NEWS

IE 5.5/6で発生する深刻なセキュリティ問題の修正プログラムが公開

実行可能ファイルが自動的に実行されてしまう問題を修正

（01/12/17）

　マイクロソフト（株）は14日、IE 5.5/6で発生する深刻なセキュリティ問題の修正プログラムを公開した。今回リリースされた修正プログラムでは、IE 6でダウンロードした実行可能ファイルをユーザーの確認なしに自動実行してしまう可能性がある問題など、新たに発見された3つのセキュリティ問題を修正するほか、IE 5.5/6でこれまで発見されているすべてのセキュリティ問題を修正する。同社では、今回発見されたセキュリティ問題の深刻度を“高”レベルに位置付け、ユーザーに対し直ちに修正プログラムを適用するよう推奨している。

　今回発見されたセキュリティ問題のうち最も深刻なのは、HTMLのヘッダー情報を改変することで、IE 6でダウンロードするファイルの形式を別の形式と誤認識させられてしまうという問題。たとえばEXE形式の実行可能ファイルを、ユーザーの確認なしに開く別の形式のファイルと誤認識してダウンロードすると、ダウンロード完了直後に実行可能ファイルが勝手に起動してしまう。この問題を悪意ある攻撃者が利用すれば、閲覧するだけで破壊的なプログラムが実行されるWebページやHTMLメールを、比較的容易に作成することができる。なお、この問題の対象となるのはIE 6のみで、IE 5.5では発生しない。

　このほか今回新たに修正の対象になった問題は、ダウンロード用のダイアログボックスに実際の名前とは異なるファイル名を表示することで、ユーザーが意図していない処理を実行できるというもの。たとえば、実際にはEXE形式の実行ファイルであるにもかかわらず、TXT形式のファイルのように見せかける可能性も考えられ、ユーザーがテキストファイルと思って[開く]を選択すると破壊的なプログラムが実行される危険性もある。また最後の1つは、これまでたびたび修正プログラムが公開されている“フレームのドメイン照合”問題の変種で、フレームウィンドウの1つにユーザーのローカルファイルシステムを指定することで、ファイルの内容を盗み見ることが可能になるという。どちらの問題も、IE 5.5およびIE 6が対象となる。

　なお、今回のセキュリティ問題のテストは、IE 5.5およびIE 6のみが対象となっており、現在同社のWebサイトで公開されているIE 5.01 SP2はテストのサポート外となっている。IE 5.0xのユーザーは、IE 5.5 SP2またはIE 6にバージョンアップしたうえで、今回公開された修正プログラムをインストールしたほうがよいだろう。

□TechNet Online - 2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-058

（新城 雅章）