【 ここから本文 】

Webブラウザ

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

Webブラウザ

[世界]
IE 7の不具合でWindows XPマシンが乗っ取られる危険性が明るみに

マイクロソフトがURI処理問題に関するセキュリティ情報を公開

(2007年10月12日)

 米国マイクロソフトは10月10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7(IE 7)を使用している場合に、一部のURI(Uniform Resource Identifier)の処理に問題が生じることを説明したセキュリティ情報を公開した。

マイクロソフトが公開したURI処理問題に関するセキュリティ情報

 同社によると、攻撃者が作成した不正なURIをユーザーがクリックすると、悪意あるコードやスクリプトが実行され、攻撃者にマシンを乗っ取られるおそれがある。同社は、この問題が生じる危険性があるのは、IE 7が動作するWindows XPまたはWindows Server 2003 PCで、Windows Vistaでは問題は発生しないとしている。

 公開されたセキュリティ情報には、修正パッチの提供予定は明記されていないが、マイクロソフト・セキュリティ・レスポンス・センター(MSRC)のジョナサン・ネス氏は、10日午後にMSRCの公式ブログへの投稿で、「われわれはセキュリティ更新プログラムを準備している。WindowsのURI処理コードを修正する計画だ」と説明している。

 ネス氏によると、最近、WindowsのURI処理の問題が公に議論されたことで、この問題が攻撃者に悪用される可能性が高まったと判断し、マイクロソフトは今回のセキュリティ情報の公開に踏み切ったという。

 この議論は、ハイズ・セキュリティのジャーゲン・シュミット氏が提起し、セキュリティ関連のメーリング・リスクで展開されたもので、Windowsが各種プロトコルを処理する際の問題の責任をマイクロソフトが負うべきかどうかという論争を再燃させた。

 シュミット氏は、「mailto:」プロトコルで指定された無効なURIを検知して拒否するWindows XPの機能をIE 7が台無しにしていると主張する。

 ネス氏はブログへの投稿の中で、マイクロソフトはIE 7の安全性を高めるために、同ブラウザが無効なURIを、Windowsでコードの実行に使われるShellExecute関数に渡せるようにしていると説明している。

 「IE 7には、あらかじめ十分な検証を行って不正なURIを拒否する機能があり、“%”が含まれるような不正なURIがIE 7で拒否されると、ShellExecute()がそのURIを使用できるように修正しようとする。このプロセスにおいてURIが安全に処理されないという問題がある」

 ネス氏によると、マイクロソフトはWindows XPと同Server 2003をアップデートし、URIがShellExecuteプロセスで「より厳密に」処理されるようにするという。

 だが、マイクロソフトは同時に、サードパーティの開発者も対策を講じる余地があるとの見解も示している。

 ネス氏は、「われわれが提供する更新プログラムは、すべてのアプリケーションを不正なURIから保護するためのものだが、URIを扱う製品を提供するアプリケーション・ベンダーの側も、悪意あるURIがShellExecute()に渡されないよう、自社製品により厳密な対策を施すべきだ」とし、すでに数社のベンダーがこうした対策を実施していると指摘する。

 確かに、モジラとスカイプはそれぞれ、ブラウザのFirefoxとVoIPソフトウェアのSkypeを7月に対応パッチをアップデートしているが、両社はその際に、「今回修正した問題は、われわれだけが負うべき責任ではなく、マイクロソフトにもその責任がある」と説明していた。

 アドビ システムズも先週、Adobe ReaderとAcrobat製品のパッチを提供することを明らかにし、それまでの暫定的な回避策を提示している。

 マイクロソフトは対応するWindowsの修正パッチを提供するとしているが、11日(米国時間)の時点では、そのパッチが、IE 7との連携部分のみを対象としたものになるか、OSのプロトコル処理プロセスにかかわる包括的なものになるかは明らかにしていない。

 マイクロソフトにこの点について明確な説明を求めたが、有効な回答は得られなかった。ただし、ネス氏は、Windowsのプロトコル処理の修正という大がかりな作業は予定されていないことを示唆した。

 同氏はIEチームのIEプログラム・マネジャーが7月に投稿したブログ記事内にある「Windowsを手直しすることは、非常に困難だ。プロトコル・ハンドラは事実上、無限にあるからだ」という説明を妥当な見解だとしている。

 マイクロソフトはパッチの提供時期を明らかにしておらず、ユーザーに対し、問題が修正されるまで、不審なリンクをクリックしたり、信用できないWebサイトを閲覧しないよう呼びかけている。

(グレッグ・カイザー/Computerworld オンライン米国版)

関連記事

▲ページの先頭へ戻る

キャッチアップ

マイクロソフトによるIE8の無効化措置は不十分――オペラのCEOが苦言

「ユーザーにWebブラウザを選択する権利を与えるべきだ」

企業はIEからGoogle Chromeに乗り換えるか――最大の懸念は既存アプリとの連携

「企業のブラウザ選定はすでに終わっている」との声も

トレンド・フォーカス

IEの市場シェアが過去最低を記録――3月末時点で66.8%

ライバルのFirefoxは22%で過去最高に(2009年04月03日)

IE 8がIE 7の市場シェアを浸食――Firefoxには影響なし

IE 7ユーザーの“乗り換え”が進んでいるもよう(2009年04月01日)

IE 8の市場シェア、正式リリース日に1.63%へ

「まずまずのスタートだがマイクロソフトの対応は不十分」と専門家(2009年03月23日)

Google、さらに高速化したChrome“ベータ版”をリリース

昨年末に一度は外した「ベータ・タグ」を再度付加した理由は?(2009年03月19日)

Windows 7に「IE8」削除機能?――ネット流出のビルド版で発覚

バンドル是正求める欧州委にマイクロソフトが配慮?(2009年03月05日)

繰り返される脆弱性の悪用、またもIE7が攻撃の的に

今のところ小規模だが、大規模攻撃に拡大のおそれも(2009年02月18日)

IE8のクリック・ジャッキング対策機能はほんとうに有効か

すべてのWebサイトでの対応が必要で、啓蒙活動に時間がかかる可能性も(2009年01月28日)

IEのシェアが大幅ダウン――2008年12月のブラウザ市場

シェア増加のFirefox/Safari/Chromeとは対照的(2009年01月05日)

【Opera調査】モバイルWebブラウザの利用数、1年間で急増

「ユビキタス・アクセスの日常化が後押し」とオペラCEO(2008年12月24日)

「Google Chrome」がバージョン1.0に――ベータ段階から移行

一部ユーザーは安定性に疑問符、移行を批判(2008年12月12日)

省エネ志向のWebブラウジング、アニメ表示オフの効果は「予想以上」

Flashなどの非表示設定で最大10ワットの省電力(2008年12月04日)

アップル、Webブラウザの新版「Safari 3.2」をリリース

フィッシング詐欺対策など、セキュリティ面を強化(2008年11月14日)

モジラ、モバイル・ブラウザ「Fennec」のアルファ版をリリース

開発促進に向け、Windows、Mac OS X、Linux搭載PC版も同時提供(2008年10月20日)

「Firefox 3.1」もプライバシー・モード機能を搭載、Chrome/IE 8に対抗へ

ベータ1版に続き、11月にはベータ2版をリリース(2008年10月10日)

「Thunderbird 3.0」の開発ロードマップが変更―― ベータからアルファへ異例の後退

「ベータを名乗るには不十分で、マイナス評価を避けるため」と開発者(2008年10月03日)

Google Chromeの利用率が早くも下降曲線

IEやFirefoxは逆にシェア回復へ(2008年09月24日)

Google Chromeが“Windowsの次”を担うキラー・アプリとなる可能性は?

「Internet Explorerのシェアを奪うことすら困難」と指摘する専門家も(2008年09月09日)

グーグルのブラウザ市場参入は脅威ではない――モジラら競合各社は表向き平静

一様に歓迎の意を示しつつ、自社ブラウザの優位点をアピール(2008年09月03日)(2007年01月29日)

グーグル幹部、新ブラウザ「Google Chrome」への注力姿勢を鮮明に

「次世代Webアプリにはすぐれたブラウザが必要」と指摘(2008年09月03日)

“グーグル・ブラウザ”がついに登場――9月2日にリリースされる「Google Chrome」

HTMLレンダリング・エンジンに「WebKit」を採用したオープンソース・ブラウザ(2008年09月02日)

Windows 7とIE 8の重要課題はパフォーマンス――マイクロソフトが難題解決に意欲

Vistaの二の舞を避けるべく、Windows 7では6つの要改良点を設定(2008年08月29日)

フィッシング未対策のSafariは使うべきではない――消費者団体がMacユーザーに警告

「被害が後を絶たないなか、対策を講じていないブラウザは危険」(2008年08月05日)

モジラ、タブ切り替え機能を強化した「Firefox 3.1」アルファ1を公開

正式リリースは2008年末から2009年初頭を予定(2008年08月01日)

Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告

「問題の大半はベンダー側の対策不足にあり」と研究員が指摘(2008年07月02日)

Firefox 3のダウンロード数、リリース後24時間で800万を突破

一方で深刻な脆弱性も見つかる(2008年06月19日)

モジラ、「Firefox 3」を正式リリース――2006年末以来の大改訂版

1日のダウンロード数のギネス世界記録にも挑戦(2008年06月18日)

Weekly Ranking

集計期間:06/27〜07/03

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国