【 ここから本文 】

[特集]Webブラウザ

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[世界]
IE 7の不具合でWindows XPマシンが乗っ取られる危険性が明るみに

マイクロソフトがURI処理問題に関するセキュリティ情報を公開

(2007年10月12日)

 米国マイクロソフトは10月10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7(IE 7)を使用している場合に、一部のURI(Uniform Resource Identifier)の処理に問題が生じることを説明したセキュリティ情報を公開した。

マイクロソフトが公開したURI処理問題に関するセキュリティ情報

 同社によると、攻撃者が作成した不正なURIをユーザーがクリックすると、悪意あるコードやスクリプトが実行され、攻撃者にマシンを乗っ取られるおそれがある。同社は、この問題が生じる危険性があるのは、IE 7が動作するWindows XPまたはWindows Server 2003 PCで、Windows Vistaでは問題は発生しないとしている。

 公開されたセキュリティ情報には、修正パッチの提供予定は明記されていないが、マイクロソフト・セキュリティ・レスポンス・センター(MSRC)のジョナサン・ネス氏は、10日午後にMSRCの公式ブログへの投稿で、「われわれはセキュリティ更新プログラムを準備している。WindowsのURI処理コードを修正する計画だ」と説明している。

 ネス氏によると、最近、WindowsのURI処理の問題が公に議論されたことで、この問題が攻撃者に悪用される可能性が高まったと判断し、マイクロソフトは今回のセキュリティ情報の公開に踏み切ったという。

 この議論は、ハイズ・セキュリティのジャーゲン・シュミット氏が提起し、セキュリティ関連のメーリング・リスクで展開されたもので、Windowsが各種プロトコルを処理する際の問題の責任をマイクロソフトが負うべきかどうかという論争を再燃させた。

 シュミット氏は、「mailto:」プロトコルで指定された無効なURIを検知して拒否するWindows XPの機能をIE 7が台無しにしていると主張する。

 ネス氏はブログへの投稿の中で、マイクロソフトはIE 7の安全性を高めるために、同ブラウザが無効なURIを、Windowsでコードの実行に使われるShellExecute関数に渡せるようにしていると説明している。

 「IE 7には、あらかじめ十分な検証を行って不正なURIを拒否する機能があり、“%”が含まれるような不正なURIがIE 7で拒否されると、ShellExecute()がそのURIを使用できるように修正しようとする。このプロセスにおいてURIが安全に処理されないという問題がある」

 ネス氏によると、マイクロソフトはWindows XPと同Server 2003をアップデートし、URIがShellExecuteプロセスで「より厳密に」処理されるようにするという。

 だが、マイクロソフトは同時に、サードパーティの開発者も対策を講じる余地があるとの見解も示している。

 ネス氏は、「われわれが提供する更新プログラムは、すべてのアプリケーションを不正なURIから保護するためのものだが、URIを扱う製品を提供するアプリケーション・ベンダーの側も、悪意あるURIがShellExecute()に渡されないよう、自社製品により厳密な対策を施すべきだ」とし、すでに数社のベンダーがこうした対策を実施していると指摘する。

 確かに、モジラとスカイプはそれぞれ、ブラウザのFirefoxとVoIPソフトウェアのSkypeを7月に対応パッチをアップデートしているが、両社はその際に、「今回修正した問題は、われわれだけが負うべき責任ではなく、マイクロソフトにもその責任がある」と説明していた。

 アドビ システムズも先週、Adobe ReaderとAcrobat製品のパッチを提供することを明らかにし、それまでの暫定的な回避策を提示している。

 マイクロソフトは対応するWindowsの修正パッチを提供するとしているが、11日(米国時間)の時点では、そのパッチが、IE 7との連携部分のみを対象としたものになるか、OSのプロトコル処理プロセスにかかわる包括的なものになるかは明らかにしていない。

 マイクロソフトにこの点について明確な説明を求めたが、有効な回答は得られなかった。ただし、ネス氏は、Windowsのプロトコル処理の修正という大がかりな作業は予定されていないことを示唆した。

 同氏はIEチームのIEプログラム・マネジャーが7月に投稿したブログ記事内にある「Windowsを手直しすることは、非常に困難だ。プロトコル・ハンドラは事実上、無限にあるからだ」という説明を妥当な見解だとしている。

 マイクロソフトはパッチの提供時期を明らかにしておらず、ユーザーに対し、問題が修正されるまで、不審なリンクをクリックしたり、信用できないWebサイトを閲覧しないよう呼びかけている。

(グレッグ・カイザー/Computerworld オンライン米国版)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

「リアルタイムLANアナライザ」とは?

ネットワーク・トラブルにまつわる諸問題を解決する「リアルタイムLANアナライザ」とは?

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:11/25〜12/01

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国