［世界］
IE 7の不具合でWindows XPマシンが乗っ取られる危険性が明るみに

マイクロソフトがURI処理問題に関するセキュリティ情報を公開

（2007年10月12日）

　米国マイクロソフトは10月10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7（IE 7）を使用している場合に、一部のURI（Uniform Resource Identifier）の処理に問題が生じることを説明したセキュリティ情報を公開した。

マイクロソフトが公開した「URI処理問題に関するセキュリティ情報」

　同社によると、攻撃者が作成した不正なURIをユーザーがクリックすると、悪意あるコードやスクリプトが実行され、攻撃者にマシンを乗っ取られるおそれがある。同社は、この問題が生じる危険性があるのは、IE 7が動作するWindows XPまたはWindows Server 2003 PCで、Windows Vistaでは問題は発生しないとしている。

　公開されたセキュリティ情報には、修正パッチの提供予定は明記されていないが、マイクロソフト・セキュリティ・レスポンス・センター（MSRC）のジョナサン・ネス氏は、10日午後にMSRCの公式ブログへの投稿で、「われわれはセキュリティ更新プログラムを準備している。WindowsのURI処理コードを修正する計画だ」と説明している。

　ネス氏によると、最近、WindowsのURI処理の問題が公に議論されたことで、この問題が攻撃者に悪用される可能性が高まったと判断し、マイクロソフトは今回のセキュリティ情報の公開に踏み切ったという。

　この議論は、ハイズ・セキュリティのジャーゲン・シュミット氏が提起し、セキュリティ関連のメーリング・リスクで展開されたもので、Windowsが各種プロトコルを処理する際の問題の責任をマイクロソフトが負うべきかどうかという論争を再燃させた。

　シュミット氏は、「mailto:」プロトコルで指定された無効なURIを検知して拒否するWindows XPの機能をIE 7が台無しにしていると主張する。

　ネス氏はブログへの投稿の中で、マイクロソフトはIE 7の安全性を高めるために、同ブラウザが無効なURIを、Windowsでコードの実行に使われるShellExecute関数に渡せるようにしていると説明している。

　「IE 7には、あらかじめ十分な検証を行って不正なURIを拒否する機能があり、“%”が含まれるような不正なURIがIE 7で拒否されると、ShellExecute()がそのURIを使用できるように修正しようとする。このプロセスにおいてURIが安全に処理されないという問題がある」

　ネス氏によると、マイクロソフトはWindows XPと同Server 2003をアップデートし、URIがShellExecuteプロセスで「より厳密に」処理されるようにするという。

　だが、マイクロソフトは同時に、サードパーティの開発者も対策を講じる余地があるとの見解も示している。

　ネス氏は、「われわれが提供する更新プログラムは、すべてのアプリケーションを不正なURIから保護するためのものだが、URIを扱う製品を提供するアプリケーション・ベンダーの側も、悪意あるURIがShellExecute()に渡されないよう、自社製品により厳密な対策を施すべきだ」とし、すでに数社のベンダーがこうした対策を実施していると指摘する。

　確かに、モジラとスカイプはそれぞれ、ブラウザのFirefoxとVoIPソフトウェアのSkypeを7月に対応パッチをアップデートしているが、両社はその際に、「今回修正した問題は、われわれだけが負うべき責任ではなく、マイクロソフトにもその責任がある」と説明していた。

　アドビシステムズも先週、Adobe ReaderとAcrobat製品のパッチを提供することを明らかにし、それまでの暫定的な回避策を提示している。

　マイクロソフトは対応するWindowsの修正パッチを提供するとしているが、11日（米国時間）の時点では、そのパッチが、IE 7との連携部分のみを対象としたものになるか、OSのプロトコル処理プロセスにかかわる包括的なものになるかは明らかにしていない。

　マイクロソフトにこの点について明確な説明を求めたが、有効な回答は得られなかった。ただし、ネス氏は、Windowsのプロトコル処理の修正という大がかりな作業は予定されていないことを示唆した。

　同氏はIEチームのIEプログラム・マネジャーが7月に投稿したブログ記事内にある「Windowsを手直しすることは、非常に困難だ。プロトコル・ハンドラは事実上、無限にあるからだ」という説明を妥当な見解だとしている。

　マイクロソフトはパッチの提供時期を明らかにしておらず、ユーザーに対し、問題が修正されるまで、不審なリンクをクリックしたり、信用できないWebサイトを閲覧しないよう呼びかけている。

(グレッグ・カイザー／Computerworld オンライン米国版)