この更新プログラムでどのような脆弱性が排除されますか?
この更新プログラムがインストールされると、Internet Explorer 5.5 および 6.0 に影響を与えるすべての既知の脆弱性が排除されます。さらに、これらのバージョンに影響を及ぼす以前説明されたすべての脆弱性が排除されるとともに、新しい 3 つの脆弱性も排除されます。
| • | ダウンロードを行うと、自動的にコードが実行されるダウンロード先を処理することに関する脆弱性 |
| • | マイクロソフト セキュリティ情報 MS01-015 で説明されている 「フレームのドメイン照合」 の脆弱性の新しく確認された変種 |
| • | [ファイルのダウンロード] のダイアログ ボックス内のファイル名の表示に関する脆弱性 |
1 番目の脆弱性でどのようなことが起こる可能性がありますか?
この脆弱性により、攻撃者が、選択したプログラムをほかのユーザーのマシンで実行する可能性があります。このようなプログラムは、データの追加、変更、および削除、Web サイトとの通信、ハード ドライブの再フォーマットなど、ユーザーがマシンで実行可能な任意の操作を行うことができます。
攻撃者がこの脆弱性を利用してユーザーを攻撃することを成功させるためには、特別な形式の Web ページを作成し、犠牲となるユーザーにアクセス可能な Web サイト、インターネット、またはローカル ネットワークで悪質な実行可能ファイルをホストする必要があります。そして攻撃者はユーザーにその Web ページを表示することを強制する必要があります。攻撃者はユーザーを攻撃者の Web サイトを訪問するように誘導するか、またはその Web ページを HTML 形式の電子メールとして送信することにより、これを行います。Web サイトの Web ページの読み込みが完了すると、ファイルは自動的に実行されます。HTML 形式の電子メールを利用した攻撃の場合、ユーザーがその電子メールを開く、またはプレビュー ウィンドウで表示すると、ファイルは自動的に実行されます。
何が原因で起こりますか?
この脆弱性は HTML ヘッダー情報を改ざんし、Web ページがその HTML 形式の Web ページにより参照されたファイルの、ファイルの種類を間違って表示するようにすることができるために起こります。これが行われると、Internet Explorer が HTML 形式の Web ページを開く時、ファイルを不適切に処理する可能性があります。最悪の場合、Web ページはユーザーの承認なしで開かれても安全なファイルとして、実行可能ファイルを間違って表示します。これにより、HTML 形式の Web ページが開かれる時、Internet Explorer が自動的に実行ファイルを実行してしまう可能性があります。
HTML ヘッダーとは何ですか?
HTML ヘッダーとは、ブラウザに Web ページの特定の側面を処理する方法を指示する Web ページ内のフィールドです。例えば、HTML ヘッダーはブラウザに Web ページのレンダリングの方法や、Web ページのデータの解釈の方法などを指示することもあります。ここで問題となっている脆弱性は Internet Explorer が、Web ページによって参照された HTML 形式のファイル以外のものを処理する方法を指示する 2 つの HTML ヘッダー フィールドを処理する方法に問題があるために起こります。
「Web ページによって参照された HTML 形式のファイル以外のもの」とはどのような意味ですか?
Web ページは通常、HTML 形式のファイルで構成されています。つまり、ファイルはブラウザにどのテキストを表示するか、またどのように表示するかを指示するコマンドを含んでいます。しかし、Web ページはそのほかのデータで構成されるファイルを参照する必要がある場合もあります。例えば、Web ページがストリーミング メディア ファイル、テキスト ファイル、プログラム ファイル、またはそのほかの種類のデータなどを参照する必要がある場合もあります。
初期のブラウザは HTML のみを読み取り、そして表示するように作成されました。そのほかのすべてのファイルはローカル システムにダウンロードされ、そしてユーザーは適切なアプリケーションを使用して、これらのファイルを開きました。例えば、テキスト ファイルはメモ帳で開かれ、そしてサウンド ファイルはメディア アプリケーションで開かれました。しかし、より豊富なブラウジング エクスペリエンスを提供するために、HTML 形式のファイル以外のものを直接処理できるようにブラウザの機能が拡張されました。例えば、Internet Explorer は DOC ファイルをワードパットまたは Word で直接開いて処理し、またストリーミング メディア ファイルについては、ユーザーのメディア プレイヤを起動し、そのファイルを再生することにより処理します。
Internet Explorer はどのように HTML 形式以外のファイルを処理する適切な方法を決定するのですか?
Internet Explorer などの最新のブラウザは Multipurpose Internet Mail Extensions (MIME) 情報を使用し、HTML 形式以外のデータを処理します。MIME タイプは最初にインターネット メール クライアントが添付ファイルをインテリジェントに処理することができるように開発されましたが、これらの使用はブラウザも MIME 情報を使用し、ファイルをインテリジェントに処理できるように拡張されました。
Web ページが Internet Explorer に HTML 形式以外の Web ページをダウンロードするように指示すると、MIME タイプの情報が 2 つの HTML ヘッダー フィールド (Content-Disposition と Content-Type として知られています。) を介し、提供されます。Internet Explorer が HTML 形式以外のファイルの MIME タイプを決定すると、そのファイルを処理する正しい方法を指示する内部テーブルを調べます。
Content-Disposition と Content-Type ヘッダーフィールドとは何ですか?
Content-Disposition (英語情報) と Content-Type ヘッダー フィールドは結合して使用され、MIME タイプの情報をブラウザに提供します。Content-Dispositions フィールドはブラウザに HTML 形式以外のデータが送られてくることを警告 します。そして Content-Type フィールドは MIME タイプの情報を提供します。
それでは Internet Explorer は特定の MIME タイプを正しく処理しないことが問題なのですか?
いいえ、違います。Internet Explorer はファイルの MIME タイプに適切であるようにファイルを処理します。この場合の問題は Content-Disposition と Content-Header に警告することにより、Internet Explorer に通常とは異なる MIME タイプのファイルであることを分からせることができないことです。そこで Internet Explorer はそのファイルを間違った方法で処理し、これが危険な結果につながる可能性があります。
この脆弱性を利用して攻撃者は何ができますか?
攻撃者がこの脆弱性を利用して、ユーザーが Web ページを開く時に実行されるプログラムを作成することができます。具体的には、攻撃者はプログラムを作成し、それを Web サイトでホストし、さらにそのプログラムを開く Web ページを作成します。Content-Disposition フィールドと Content-Header フィールドに特定の方法で警告をすることにより、攻撃者は Internet Explorer に、プログラムは実際に異なる種類のファイルであり、単に開いても安全であるということを指示することができます。
この脆弱性は次の 2 つのシナリオを介して利用される可能性があります。攻撃者は Web サイトを訪問するユーザーを攻撃するために、単にプログラムと Web ページを Web サイトでホストします。または、攻撃者は Web ページを HTML 形式の電子メールとして送信します。この場合、受信者がその電子メールを開く時、プログラムが自動的に実行されます。
攻撃者はなぜ HTML 形式の電子メールを介してこの脆弱性を利用することができるのですか?
HTML 形式の電子メールは本質的には電子メールによって送信される Web ページです。この脆弱性を利用する Web ページを作成し、それを HTML 形式のメールとして送信することにより、攻撃者は上記で説明されている Web サイトを介する攻撃と本質的に同じ攻撃を行うことができます。メッセージをダブルクリック、またはプレビュー ウィンドウで表示することにより電子メールが開かれると、ファイルがダウンロードされ、自動的に実行されます。
ユーザーがこのようなプログラムが実行されることを防ぐ方法はありますか?
場合によります。ファイルがダウンロードされている間、ユーザーがダウンロードをキャンセルすることができるダイアログが表示されます。ダウンロードが完了する前にキャンセルされた場合、プログラムは実行されません。しかし、ダウンロードの速度とファイルのサイズにより、ダウンロードの進行を停止するためのボタンが利用可能である時間は異なります。
実行可能ファイルが実行されると、どのような操作が行われますか?
実行可能ファイルはユーザーがシステムで実行可能な任意の操作を行うことができます。実際に行われる操作は Web ページを表示、または添付ファイルを実行するユーザーの権限によって異なります。高い権限を持たないユーザーとして操作が行われる場合、損害はほとんどありません。しかし、ユーザーがシステムの管理者である場合、添付ファイルはハード ドライブの再フォーマットなど、実質上すべての操作を行うことができます。
この脆弱性を利用する Web ページや実行可能ファイルは偶発的に作成されることはありますか?
いいえ、ありません。このような Web ページや実行可能ファイルを作成するためには、攻撃者は Web ページや実行可能ファイルを特定の、意図を持った方法で作成する必要があります。これが偶発的に行われることは不可能です。
攻撃者は「悪質な実行可能ファイルをサーバーに配置する」必要があるとのことですが、これはどのような意味ですか?
攻撃を成功させるためには、悪質なファイルはユーザーのコンピュータにダウンロードされる必要があります。これを完了させるためには、ファイルをユーザーがアクセスできる場所に配置する必要があります。そのサーバーが何らかの理由でアクセスされない場合、攻撃は失敗します。つまり、例えば、既知のサーバーがこの悪質な実行ファイルをインターネットにホストしている場合、ユーザーをそのサーバーにアクセスさせないことにより保護することができます。ローカル イントラネットのサーバーが実行可能ファイルをホストしている場合、そのサーバーをネットワークから削除する、またはそのほかの方法でアクセス不可能にすることにより、脅威は排除されます。
それでは、攻撃を成功させるためには、攻撃者はファイルをユーザーのコンピュータにダウンロードできる必要があるのですか?
その通りです。悪質な実行可能ファイルが何らかの理由でダウンロードされない場合、攻撃は失敗します。これにより、攻撃に対する追加の保護手段が提供されます。
[ファイルのダウンロード] が悪質なコードが受信されるセキュリティ ゾーンで無効にされている場合、攻撃は失敗します。この脆弱性が利用されるほとんどの場合がインターネット ゾーンにより管理されるインターネットから、またはイントラネット ゾーンにより管理されるローカル ネットワークからであるため、これらのゾーンでファイルのダウンロードを無効にすると、この脆弱性の影響を受けるシステムの保護に役立ちます。しかし、この設定はいずれのゾーンでも既定の設定ではありません。
どのバージョンの Internet Explorer がこの脆弱性の影響を受けますか?
Internet Explorer 6.0 のみがこの脆弱性の影響を受けます。Internet Explorer 5.5 はこの脆弱性の影響を受けません。
更新プログラムは何を修正しますか?
この更新プログラムは間違った Content-Disposition ヘッダーおよび Content-Type ヘッダーの正しいチェックを実行することにより脆弱性を排除します。
2 番目の脆弱性でどのようなことが起こる可能性がありますか?
2 番目の脆弱性はマイクロソフト セキュリティ情報 MS00-033 で説明された 「フレームのドメイン照合」 の脆弱性の新しい変種です。この脆弱性により、悪意のある Web オペレータは Web サイトを訪問するユーザーのコンピュータのファイルを表示することができます。
この脆弱性に関して、多くの、問題を緩和する要素があります。
| • | これはファイルを読み取るためにのみ利用されます。ファイルの作成、変更、削除、実行はできません。 |
| • | 攻撃者はユーザーのコンピュータのファイルの名前と保存場所を知る必要があります。 |
| • | この脆弱性の利用が成功したとしても、攻撃者は HTML ファイル、画像ファイル、テキスト ファイルなどのブラウザ ウィンドウで開くことができるファイルのみを表示することができます。 |
| • | この脆弱性の利用を成功させるためには、アクティブ スクリプトが必要となります。悪質な Web サイトがアクティブ スクリプトを許可していないセキュリティ ゾーンにある場合、この脆弱性を利用することはできません。 |
「フレームのドメイン照合」の脆弱性に関する詳しい情報はどこで入手することができますか?
マイクロソフト セキュリティ情報 MS00-033、MS00-055、MS00-093 および MS01-015 で、この脆弱性を詳しく説明しています。
新しい変種と以前の変種に何か違いはありますか?
いいえ、ありません。新しい変種が及ぼす影響の範囲は以前の変種と全く同じです。
この更新プログラムは新しい変種とともに、元の変種も排除しますか?
はい。この更新プログラムは上記で説明した Internet Explorer のキャッシュ メカニズムに関する脆弱性を排除するとともに、すべての既知の変種も排除します。
3 番目の脆弱性でどのようなことが起こる可能性がありますか?
3 番目の脆弱性により、攻撃者は [ファイルのダウンロード] ダイアログ ボックスに間違った名前を表示することができる可能性があります。攻撃者はこの脆弱性を利用してユーザーに安全でないファイルをダウンロードさせようとする可能性があります。
この脆弱性を利用しても、攻撃者はダウンロードに関する通常のシステムのビヘイビアを置き換えることはできません。つまり、攻撃者はユーザーにダウンロードを強制的に受け入れさせる手段を得ることはできません。ユーザーは単にダイアログ ボックスを介し、操作をキャンセルすることができます。同様に、ユーザーがダウンロードを続行することを選択したとしても、攻撃者にはファイルを開く方法はありません。既定の操作はファイルを保存することで、実行することではありません。
何が原因で起こりますか?
この脆弱性は Internet Explorer の [ファイルのダウンロード] ダイアログがある特別な文字に遭遇すると、ファイル名を表示することを停止します。ファイル名を注意深く選択し、そのような文字をファイル名の適切な位置に挿入することにより、攻撃者は誤解を招くような名前 (ユーザーが信頼する可能性のある名前) を Internet Explorer に表示させることができます。
[ファイルのダウンロード] ダイアログボックスがファイル名を処理する方法の何が問題になっていますか?
Web ページがファイルのダウンロードを開始すると、Internet Explorer はファイル名を表示し、ユーザーにそのファイルを保存する、開く、またはキャンセルするかをたずねるダイアログを表示します。仕様上、Internet Explorer はファイル名全体を表示することになっています。しかし、Internet Explorer はある特別な文字を見つけると、実際に名前を表示することを停止します。
これにより、攻撃者がその名前のサブセットのみを表示する可能性があります。例えば、攻撃者が “file.txt.exe” と名前の付けられたプログラムを作成したとします。ここで問題となっている特別な文字の 1 つを “.txt” の後に挿入することにより、攻撃者はファイル名がダイアログで “file.txt.exe” ではなく “file.txt” と表示されるようにすることができます。
これにより攻撃者は何ができますか?
これにより攻撃者は、表示されると、ファイルのダウンロードを開始し、誤解を招くようなファイル名を表示する Web ページを作成し、ユーザーにダウンロードしても安全であると確信させようとする可能性があります。Web ページは Web サーバーでホストされる、または HTML 形式の電子メールとしてユーザーに送信される可能性があります。
ファイルはどこに配置されますか?
ファイルは攻撃者が制御することができるサーバーに配置される必要があります。サーバーに何らかの理由でアクセスできない場合、攻撃は失敗します。
Web ページは自動的にそのようなダウンロードを開始することができますか?
はい、できます。仕様上、Web ページは常にファイルのダウンロードを開始することができます。しかし、この意味に的確であることが重要です。ユーザーは依然としてダウンロードを続行するか否かを管理することができます。つまり、ファイルのダウンロードが開始されると、[ファイルのダウンロード] ダイアログが表示され、ユーザーはそのダウンロードをキャンセルする機会があります。この脆弱性により、攻撃者がユーザーにダウンロード ダイアログで [キャンセル] を選択させないことはできません。
ユーザーがダウンロードを続行することを選択した場合、何が起こりますか?
ユーザーの選択により異なります。[ファイルのダウンロード] ダイアログの既定の選択はユーザーが選択したシステムの場所にファイルを保存することです。ユーザーがこのオプションを選択した場合、ファイルはシステムに保存されますが、ユーザーが後でそのファイルを故意に実行しなければ、そのファイルは実行されません。一方、ユーザーがファイルを開くオプションを選択した場合、プログラムは実行されます。
攻撃者がユーザーにダウンロードを強制的に受諾させることができない、また強制的にプログラムを実行することができないとしたら、なぜこれはセキュリティ上の脆弱性なのですか?
Web サイトを利用したシナリオでは、これは実際にはセキュリティ上の脆弱性として分類されません。Internet Explorer は常にユーザーが訪問している Web サイトをユーザーに識別させ、そしてユーザーが常に Web サイトを信頼する程度に基づいて信頼の決定を行うことができます。すなわち、信頼とはダイアログに表示されたものではなく、ファイルのソースに基づいています。
しかし、電子メールを利用したシナリオは異なるため、これはセキュリティ上の脆弱性として分類されます。単に電子メール アドレスを偽装するだけでなく、多くのウィルスがシステムを感染し、ウィルス自身のコピーをほかのユーザーに送信します。つまり、電子メールはユーザーが信頼している人物から来たものとされていても、実際はそうではないという意味です。電子メールがその人物の電子メール アカウントから来たものであっても、必ずしもその人物が意図的に送信したとは限りません。
更新プログラムは何を修正しますか?
この更新プログラムは Internet Explorer の [ファイルのダウンロード] ダイアログがファイル名内の特別な文字を正しく処理するようにします。
