【過去の「Webブラウザのセキュリティ情報(IE編)」】
【99/08/26】(MS99-031) IEの"Virtual Machine Sandbox"セキュリティー・バグ 公開(英語版)
Microsoft社から、 悪意があるJavaアプレットが仕掛けられたWebサイトを訪問した人のパソコン上のファイルを、読まれたり書きこまれたり、削除されたりする可能性があるセキュリティ問題と、パッチが公開された「Microsoft Security Bulletin (MS99-031)」として「Patch Available for "Virtual Machine Sandbox" Vulnerability」(英語バージョン用)が8月25日付け(現地時間)で公開されています。
これは、Microsoftバーチャルマシン(Microsoft VM)の不具合です。本来はJavaアプレットの影響をOSが受けないように、Javaアプレットを押し込める "Virtual Machine Sandbox(砂箱)" がありますが、それを飛び出してWebサイト訪問者のコンピュータの上のあらゆるアクションを実質的に取るのを許してしまいます。Microsoft VMは、Win32オペレーティング環境のためのバーチャルマシンですので、Microsoft Windows 95, 98 もしくは Windows NT上で動作するものです。
影響を受けるものの中で、1番関係があるのは「Internet Explorer 4」「Internet Explorer 5」だと思います。
FAQも公開されています。
◆Microsoft Security Bulletin MS99-031: Frequently Asked Questions
当面の回避方法は、IEの機能でJavaアプレットの動作を出来ないようにする(disabled)こととされています。いずれにしても、信頼出来ないWebサイトに行く際には、JavaアプレットもJavaスクリプトもActiveX も全部OFFですね。
日本語版用パッチが出たら、またフォローします。
【99/06/21】Internet Explorerの"お気に入り" 問題の修正プログラム 公開(日本語版)
マイクロソフト株式会社の「Internet Explorer セキュリティ情報」にて、この虎の穴で【99/05/28】報告に紹介済みの、お気に入り問題を回避するための修正プログラムの情報が99年6月15日付けで公開されています。
◆"お気に入り" 問題の修正プログラム
◆[IE5] お気に入り問題を回避するための修正プログラム
(Microsoft Technical Support:99/06/17)
尚、今回の修正は、英語版では4月21日に公開された「Microsoft Security Bulletin (MS99-018) Patch Available for "Malformed Favorites Icon" Vulnerability」の修正プログラムの日本語版です。
【99/05/28】速報! (MS99-018) IE関連セキュリティー・バグ 公開
Microsoft社から、 Internet Explorer 4.0とInternet Explorer 5.0が対象の、「Malformed Favorites Icon」と「Legacy ActiveX Control」の2つのセキュリティ問題が解消されるパッチが公開された「Microsoft Security Bulletin (MS99-018)」として「Patch Available for "Malformed Favorites Icon" Vulnerability」(英語バージョン用)が5月27日付け(現地時間)で公開されています。
「Malformed Favorites Icon(変形させられたお気に入りのアイコン)」とは、”お気に入り”は、IEユーザが彼らの大好きなウェッブサイトのリストを保存する機能を持っていますが、関連づけられたウェッブサイトによって供給されるアイコンを含むことも可能です。しかし、チェックしなバッファがある為、変形させられたお気に入りのアイコンはバッファをオーバーランさせ、ユーザのコンピュータの上で実行形式の任意のコードを動作させることも可能です。
この問題は、Windows 95か98上で稼動するIE 5.0のみが影響を受け、Windows NTシステムは影響を受けません。
次の「Legacy ActiveX Control(古い時期のActiveXコントロール)」とは、IEの前のバージョンによって使われており、IE 4.0とIE 5.0では使われない制御が含まれていますが、それを誤用することにより、ウェッブサイトがユーザのローカルのハードドライブをリードすることが可能でした。
修正のアップデートは、その制御を取り除くことによって、脆弱性を解消します。
尚、「Internet Explorer Security Area」にも説明があります。
◆"Favorites" Security Update
(Internet Explorer Security Area :99/05/27)
日本語版用パッチが出たら、またフォローします。
【99/05/08】速報! IEの"MSHTML" 問題修正プログラム 公開(日本語版)
マイクロソフト株式会社の「Internet Explorer セキュリティ情報」にて、Internet Explorer の HTML 用の解析エンジンであるMSHTML.DLL ファイルの 3 点の問題、"Frame Spoof" 問題、"Untrusted Scripted Paste" 問題、 "Cross Frame Navigate" 問題の修正プログラムの情報が99年4月23日付けの最終更新で公開されています。
◆"MSHTML" 問題の修正プログラム
対象は、Windows 98の場合、「IE 5 とインターネット ツール」「IE 4.01 and SP2」「IE 4.01 and SP1」で、Windows 95 の場合、それに「IE 4.0 および 4.01」が加わります。他にも、Windows NT 4.0 (x86) 、Windows NT 4.0 (DEC Alpha) も影響を受けます。
尚、今回の修正は、英語版では4月21日に公開された「Microsoft Security Bulletin MS99-012 MSHTML Update Available for Internet Explorer」の修正プログラムの日本語版です。
【99/05/03】速報! 「Internet Explorer 4.01 SP2」日本語版 公開開始!
マイクロソフト株式会社の「Internet Explorer のホーム ページ」にて、Service Pack for Internet Explorer 4 の最新版である「Internet Explorer 4.01 SP2」のダウンロードが既に公開されています。
◆「Internet Explorer 4.01 SP2」Windows 98、Windows 95、Windows NT 4.0
◆「Internet Explorer 4.01 SP2」Windows NT (DEC Alpha)
お知らせ済みの「Internet Explorer 4.01 SP2 での修正点および変更点」も、再度チェックです。
尚、この情報は熊本の渡辺様より頂きました。有難うございました。余りにもさり気ない公開でしたので、ウッカリ見落としていたようです。
【99/05/01】速報! IEの"DHTML Edit Control" 問題修正プログラム 公開(日本語版)
マイクロソフト株式会社の「Internet Explorer セキュリティ情報」にて、ユーザーが ActiveX コントロールに読み込んだ情報を、悪意のあるWeb サイトが読めてしまうという問題や、悪意のある Web サイトがパソコンローカルのファイルをコピーできてしまう可能性があるという問題の修正プログラムの情報が99年4月23日付けの最終更新で公開されています。
◆"DHTML Edit Control" 問題の修正プログラム
対象は、Windows 98/95/NT4.0のIE5.0と、「DHTML Edit Control」 をダウンロードして組み込んだIE4.0 です。
尚、今回の修正は、英語版では4月21日に公開された「Microsoft Security Bulletin MS99-011 Patch Available for DHTML Edit Vulnerability」の修正プログラムの日本語版です。
その為同時公開された、IEのHTML用parsingエンジンである「MSHTML.DLL」に関する問題「Microsoft Security Bulletin MS99-012 MSHTML Update Available for Internet Explorer」の修正プログラムの日本語版は未公開です。
【99/05/01】速報! 「Internet Explorer 4.01 SP2」リリース目前?
マイクロソフト株式会社の「Microsoft Technical Support -サポート技術情報」にて、「Internet Explorer 4.01 SP2」の情報が99年4月30日付けの最終更新で公開されています。
◆Internet Explorer 4.01 SP2 での修正点および変更点
尚、「Internet Explorer 4.01 SP2」の日本語版の出荷はまだですが、私はIE5.0の安定度に不安を持っていますので、この「Internet Explorer 4.01 SP2」のリリースが楽しみです。
【99/01/08】速報! IEの「Frame Spoof(いたずらフレーム)問題(別名:The Grand-Son of Cuartango 問題)」に対するパッチ公開(日本語版)
Microsoft社から、この「虎の穴」で【98/12/24】に報告したIE4の「Frame Spoof(いたずらフレーム)問題(別名:The Grand-Son of Cuartango 問題)」に対する日本語版パッチが公開された「"Frame Spoof" 問題の修正プログラム」が1月8日付けで公開されています。
日本語対応版が公開される迄、公表していませんでしたが、『The Grand-Son of Cuartango』のデモは、ここの中にあります。今回のパッチを適用後デモでテストすると、ちゃんと防御してくれることが分かります。
対象等は、お知らせしている通りです。
【98/12/24】IEに対する「Frame Spoof(いたずらフレーム)」問題 公開
Microsoft社から、新たな「Internet Explorer」のセキュリティー・バグである「Frame Spoof(いたずらフレーム)問題(別名:The Grand-Son of Cuartango 問題)」に対するパッチが公開された「Microsoft Security Bulletin (MS98-020)」として「Patch Available for "Frame Spoof" Vulnerability」(英語バージョン用)が12月23日付け(現地時間)で公開されています。
対象は、以下のように広範な「Internet Explorer」です。
○【Windows 95】 IE バージョン 3.X, 4.0, 4.01, 4.01 Service Pack 1
○【Windows 98】 IE バージョン 4.01 Service Pack 1
○【Windows NT 4.0】 IE バージョン 3.X, 4.0, 4.01, 4.01 Service Pack 1
○【Windows 3.1】 IE バージョン 3.X, 4.0, 4.01
○【Windows NT 3.51】 IE バージョン 3.X, 4.0, 4.01
○【Macintosh】 IE バージョン 3.X, 4.X
○【UNIX on HPUX】 IE バージョン 4
○【UNIX on Sun Solaris】 IE バージョン 4
現在公開されているのは、英語版用のみであり、日本語版は公開待ちです。[Internet Explorer Security]の説明は、こちらです。
悪意があるWebサイトオペレータが、合法的なWebサイトの上で、そのサイトのウィンドウを真似るにせのウィンドウを作成するのを許していまう「Internet Explorer」セキュリティ・バグ修正するものです。具体的には、悪意があるウェッブサイトが、コンテンツを別のウェッブサイトのウィンドウの中のフレームに入れることが可能なようです。このセキュリティ・バグにより、にせのウィンドウが利用者から情報を集めることが可能で、そして悪意があるサイトに騙して収集した情報を送ることが可能です。
この「Frame Spoof(いたずらフレーム)問題」の別名は、「The Grand-Son of Cuartango 問題」です。IEのセキュリティ・バグは、「Cuartango Hole」、「The Son of Cuartango Hole」、「The Gran-Son of Cuartango Hole」と、シリーズものでフアン・カルロス・ガルシア・クアルタンゴ氏から指摘されてきましたが、今回のものが「Cuartango Hole」の最終版と示唆されています。「The Gran-Son of Cuartango 問題」のデモのページは、日本語対応パッチが公開されてから、リンクしたいと思います。
【98/12/17】新しい Java 仮想マシン ダウンロード開始
マイクロソフト株式会社から、先日のサンノゼ連邦地方裁判所が下した判決に従い、Java Native Interface (JNI) をサポートした新しい Java 仮想マシンのダウンロード開始!が、12月15日付けで公開されています。
Internet Explorer ユーザーにも関係ある仮想マシンの更新バージョンです。最新版の Java VM は、多数の機能強化と実行速度の向上が図られています。
【98/12/04】速報! IEの『Untrusted Scripted Paste 問題(Cuartango 問題)』の別バージョ
ン『The Son of Cuartango Hole』に対するパッチ公開(日本語版)
Microsoft社から、この「虎の穴」で【98/11/19】に報告したIE4の『"Untrusted Scripted Paste" 問題』の"Cuartango"修正プログラム更新版の英語版に引き続き、日本語版パッチが公開された「Internet Explorer "Untrusted Scripted Paste" 問題の修正プログラム更新版がご利用になれます」が12月4日付けで公開されています。
この「虎の穴」で【98/11/24】に報告した、「修正プログラムのアップデート版配布開始情報 撤回」というちょっとしたハプニングも、ありましたが、今後は本物(^^;)です。
日本語対応版が公開される迄、公表していませんでしたが、『The Son of Cuartango Hole』のデモは、ここにあります。今回のパッチを適用後デモでテストすると、ちゃんと防御してくれることが分かります。
対象等は、お知らせしている通りです。
【98/11/25】『IEの Untrusted Scripted Paste 問題に対する修正プログラムのアップデート版配布開始情報 撤回』の背景
INTERNET Watchから、この「虎の穴」で【98/10/24】に報告した、『IEの Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始情報 撤回』に関して、「マイクロソフトに確認したところ、アナウンスは誤ってなされたものとのこと」という裏付け情報が掲載されたIE「Untrusted Scripted Paste」パッチ日本語版アップデート版撤回が11月25日付けで公開されています。
この「Winセキュリティ虎の穴」の勘違いではなくて、一安心です。
【98/11/24】IEの Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始情報 撤回
マイクロソフト株式会社から、[Microsoft Security Advisor Program 日本版]の情報で、「Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版配布開始」が、11月24日付けで公開されましたが、同日付けで撤回されています。
「Untrusted Scripted Paste 問題 (Cuartango 問題)に対する修正プログラムのアップデート版」と記載されていましたので、この「モバイル虎の穴」で【98/11/19】に報告した、Untrusted Scripted Paste 問題 (Cuartango 問題)の別バージョン『TheSon of Cuartango Hole』に関連した修正プログラムのアップデート版の日本語バージョンが配布開始されたと考え、早速リンク先の「Internet Explorer 4.01 "Untrusted Scripted Paste" 問題の修正プログラムがご利用になれます」で、パッチを入手して適用後、評価しました。しかし、『TheSon of Cuartango Hole』問題が解決していないので、おかしいと思っていた矢先に、情報が撤回されていました。
現場でちょっとした混乱が生じたのかもしれませんが、修正プログラムのアップデート版の日本語バージョンの配布を楽しみにしています。
しかし INTERNET Watch(98/11/24)では、「IE日本語版のセキュリティパッチ2種リリース」で、『「Untrusted Scripted Paste」問題は、 (中略) 同問題へのパッチはすでに公開されているが、対応できない場合もあることから改訂版の公開となった。』とされています。この「Winセキュリティ虎の穴」が間違っているかもしれないと、ちょっと不安になってきましたので、INTERNET Watchへメールで問い合わせて見ることにします。確認が出来るまで少々お待ち下さい。
【98/11/25】追加情報:「確かに同パッチおよびそのアナウンスは Web からアクセスできなくなっております。(中略) が、編集部でこれに気づいたのが本日夕方で、マイクロソフト社には連絡がとれておりません。そのため、当該ファイルの回収なのか、サーバーのトラブルなのか、原因不明の状態となっております。」という丁寧なお返事をインプレス Watch 編集部から頂きました。
また、「修正版のつもりが以前と同じものだったのではないでしょうか。といってもファイルのプロパティ>バージョン情報と、クイックビュアでの情報を比較しただけですが、ファイルサイズも含めて全く同じでした。」という貴重な情報をこの「Winセキュリティ虎の穴」をご覧頂いている木村様から頂いています。有り難うございました。
【98/11/23】速報! IE4の『"Dotless IP Address" 問題』に対する日本語版パッチ公開
Microsoft社から、この「虎の穴」で【98/10/25】に報告したIE4の『"Dotless IP Address" 問題』に対する英語版のパッチに続き、日本語版のパッチが公開された「Internet Explorer 4 "Dotless IP Address" 問題の修正プログラムがご利用になれます」が11月23日付けで公開されています。
対象等は、お知らせしている通りです。
今回も、[Microsoft Security Advisor Program 日本版]より、[IE セキュリティ情報]の方が先に公開されました。
【98/11/19】速報! IEの『Untrusted Scripted Paste 問題(Cuartango 問題)』の別バージョン『The Son of Cuartango Hole』に対するパッチ公開(英語版)
Microsoft社から、「虎の穴」で【98/10/18】に報告した、『Untrusted Scripted Paste 問題(Cuartango 問題)』に対するパッチも無力化する、別バージョン「The Son of Cuartango Hole」に対応した「Microsoft Security Bulletin (MS98-015)」のアップデート版のリリースとして「Update available for "Untrusted Scripted Paste" Issue in Microsoft Internet Explorer 4.01」が11月18日付け(現地時間)で更新されて公開されています。
対象は、「Windows NT 4.0 と Windows 95版の Internet Explorer 4.01 及び 4.01 SP1」と、「Internet Explorerが統合されている Windows 98」、「Windows 3.1 と Windows NT 3.51版の Internet Explorer 4.01」です。ちなみに、「Internet Explorer 4」以前は、対象外です。
また、Internet Explorerをデフォルト・ブラウザーとして使用していなくても、Internet Explorerによって供給されるHTML機能を使用するソフトウェア(Outlook ExpressやOutlook 98等)にも影響を及ぼします。
そして、Macintosh や UNIX版の Internet Explorerは、どのバージョンでも影響を受けません。
現在公開されているのは、英語版用パッチのみであり、日本語版は公開待ちです。
回避方法は、「インターネット ゾーン」で、アクティブ・スクリプト(「VBScript」および JavaScript の機能が全て実装されている「JScript」)を「無効にする」ことです。
具体的には、「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「インターネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「アクティブ・スクリプト」の項目で、「無効にする」を選択し、「OKボタン」で反映します。また、「制限付きサイトゾー
ン」にも同じ設定をします。
尚、CNET Briefs Tech Newsの11月18日付け(現地時間)の関連翻訳記事『IEセキュリティホールに再びパッチ 』があります。
【98/11/07】システム・クラッシュを伴う「Internet Explorer」の「Java」に関するセキュリティ・バグ公開
「Anfy Java Team」のイタリアのプログラマ「Fabio Ciucci」氏から、「DirectDraw Java foundation classes」が「Internet Explorer」や、場合によってはOSそのものをクラッシュさせるセキュリティ・バグ「MS Explorer 4 Crash Bug (Win 95, Win 98, Win NT)」が11月1日付け(現地時間)で公開されています。また、「Anfy Java」の日本語サイトを運用されている「どらねこ工房」様によりその日本語訳も11月5日付けで公開されています。(「どらねこ工房」様 情報有り難うございました)
対象は、Windows NTとWindows 95/98版の「Internet Explorer 4.0, 4.01, 4.01 with SP1,5ベーター版」のバージョンです。(マックOS,及びUnix OSバージョンは、影響を受けません。)また、Windows 95/98のプラットフォームの場合、ナント! システム・クラッシュ発生し、システムの再起動が必要となります。
今回のバグは、最近多かった「JavaScript」が原因では無く、「Javaアプレット」が原因です。また、マイクロソフトの、スタンダードなJava言語に対して行った変更が影響しており、そのJavaアプレットは、純粋なJava環境では動作しないとされています。
回避方法は、ブラウザの「JavaScript」機能を無効にすることです。「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「インターネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「Java」の「Javaの許可」の項目で、「Javaを無効にする」を選択し、「OKボタン」で反映します。
尚、このセキュリティ・バグを取材したCNET社の11月5日付け(現地時間)の記事「DirectDraw bug causes crashes」が公開されています。
これは、日本語版の「CNET Briefs Tech News」でも翻訳されていない記事です。
【98/10/25】IEの『Untrusted Scripted Paste 問題(Cuartango 問題)』に対する日本語版パッチ公開
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/10/18】に報告した『Untrusted Scripted Paste 問題(Cuartango 問題)』に対する英語版のパッチに続き、日本語版のパッチが公開された「Internet Explorer 4.01 "Untrusted Scripted Paste" 問題の修正プログラムがご利用になれます」が公開されています。
対象等は、お知らせしている通りです。
今回は、[Microsoft Security Advisor Program 日本版]より、[IE セキュリティ情報]の方が先に公開されました。
【98/10/25】「Dotless IP Address問題(The WorldWideWait 問題)」に対するパッチが公開(英語版)
Microsoft社から、この「モバイル虎の穴」で【98/10/21】に報告した、新たな「Internet Explorer 4」のセキュリティー・バグである「Dotless IP Address問題(The WorldWideWait 問題)」に対するパッチが公開された「Microsoft Security Bulletin (MS98-016)」として「Update available for "Dotless IP Address" Issue in Microsoft Internet Explorer 4 」(英語バージョン用)が10月23日付けで公開されています。
対象は、「Windows NT 4.0 と Windows 95版の Internet Explorer 4.0,4.01 及び 4.01 SP1」と、「Internet Explorerが統合されている Windows 98」、「Windows 3.1 と Windows NT 3.51版の Internet Explorer 4.0及び 4.01」,
「unix版の Internet Explorer 4.01」です。ちなみに、「Internet Explorer 3」と、「Macintosh版の Internet Explorer 4」は、対象外です。
現在公開されているのは、英語版用のみであり、日本語版は公開待ちです。
ちなみに、閲覧者が、「イントラネット ゾーン」でのセキュリティーを意図的に甘く設定していた場合(セキュリティーレベル:低 「損害を与える可能性があるコンテンツの実行前に警告しません」に設定 等)は、危険ですが、デフォルトでは中(安全)「損害を与える可能性があるコンテンツの実行前に警告します」に設定されていますと、紹介済みです。
しかし、新たな情報が付加されています。それは、「インターネット ゾーン」とローカルな「イントラネット ゾーン」とでは、基本的にデフォルトでは中(安全)「損害を与える可能性があるコンテンツの実行前に警告します」に設定されていて同一ですが、1点相違点があるということです。具体的には「NTLM challenge response認証」によるログオンが、ローカルな「イントラネット ゾーン」だけ自動で行われます。
「インターネット ゾーン」とローカルな「イントラネット ゾーン」を同一の動きにする為には、「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「イントラネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「ユーザー認証」の「ログオン」の項目で、「use under User Identification | Logon」(原文のまま、「ユーザー名とパスワードを入力ログオン」のこと?)を選択し、「OKボタン」で反映します。
【98/10/21】新たな「IE 4」のゾーン誤認バグ 公開
WorldWideWait社から、新たな「Internet Explorer 4」のセキュリティー・バグである「The WorldWideWait bug - FAQ」が10月17日付けで公開されています。
対象は、「Internet Explorerが統合されている Windows 98」と、「Internet Explorer 4」です。
WebブラウザでWebサイトへアクセスする場合、通常はURLを指定してアクセスしますが、4バイトで「x.x.x.x」というように通常ドットで区切って表すIPアドレスを直接指定してアクセスすることも可能です。そのIPアドレスを、ある計算方法で連続した数値に置き換えることにより、インターネット上の「インターネット ゾーン」であるにも関わらず、「Internet Explorer 4」が社内向けである「イントラネット ゾーン」と誤認してしまうセキュリティー・バグを突いたものです。
閲覧者が、「イントラネット ゾーン」でのセキュリティーを意図的に甘く設定していた場合(セキュリティーレベル:低 「損害を与える可能性があるコンテンツの実行前に警告しません」に設定 等)、極端な話自分のパソコンのハードディスクを空っぽにされてしまうような危険な「Active Xコントロール」を、インターネット経由で誤って警告無しで実行してしまう可能性もあります。
ちなみに、「イントラネット ゾーン」でのセキュリティーレベルは、デフォルトでは中(安全)「損害を与える可能性があるコンテンツの実行前に警告します」に設定されています。
尚、CNET Briefs Tech Newsの10月20日付けの関連(翻訳)記事「セキュリティゾーンを突破してしまうIEのバグ」があります。
【98/10/18】IEの『Untrusted Scripted Paste 問題(Cuartango 問題)』に対するパッチ公開
Microsoft社から、この「モバイル虎の穴」で【98/10/16】に報告した、『Untrusted Scripted Paste 問題(Cuartango 問題)』に対するパッチが公開された「Microsoft Security Bulletin (MS98-015)」として「Update available for "Untrusted Scripted Paste" Issue in Microsoft Internet Explorer 4.01」(英語バージョン用)が10月16日付けで公開されています。
対象等は、お知らせしている通りです。
現在公開されているのは、英語版用のみであり、日本語版は公開待ちです。
【98/10/16】Untrusted Scripted Paste 問題(Cuartango 問題)の詳細公開
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/10/13】に報告した、『Untrusted Scripted Paste 問題(Cuartango 問題)に関するお知らせ』の内容が「Microsoft Security Advisor」に追加されて、10月15日付けで公開されています。
先にお伝えした通り、Internet Explorer で悪意のある Web サイトを閲覧すると、パスやファイル名がわかっている場合、Script を使ってディスク上のファイルを読まれる可能性があるというものです。また、現在修正プログラムを至急開発中となっています。こうして、概略にしろ日本語で案内が出るようになっただけでも、大きな進歩です。(あれ、あまり誉め言葉になっていないかな? (^^;) )
詳細な内容は、「Untrusted Scripted Paste Security Issue in Internet Explorer 4.01」(英語情報)にあります。
対象は、「Windows NT 4.0 と Windows 95版の Internet Explorer 4.01 及び 4.01 SP1」と、「Internet Explorerが統合されている Windows 98」、「Windows 3.1 と Windows NT 3.51版の Internet Explorer 4.01」です。ちなみに、「Internet Explorer 4」以前は、対象外です。
また、Internet Explorerをデフォルト・ブラウザーとして使用していなくても、Internet Explorerによって供給されるHTML機能を使用するソフトウェア(Outlook ExpressやOutlook 98等)にも影響を及ぼします。
そして、Macintosh や UNIX版の Internet Explorerは、どのバージョンでも影響を受けません。
また、この問題に対応するhotfixは,来週早くまでにダウンロード可能(英語版)と予告されています。
回避方法は、「インターネット ゾーン」で、アクティブ・スクリプト(「VBScript」および JavaScript の機能が全て実装されている「JScript」)を「無効にする」ことです。
具体的には、「表示」メニューの「インターネット・オプション」を選択し、「セキュリティ」タブを選択します。「インターネット ゾーン」を選択し、「カスタム」をクリックし、「設定」ボタンを押します。リストの中の「アクティブ・スクリプト」の項目で、「無効にする」を選択し、「OKボタン」で反映します。また、「制限付きサイトゾー
ン」にも同じ設定をします。
尚、CNET Briefs Tech Newsの10月13日付けの関連翻訳記事『またIEにユーザーのハードディスクを暴露するバグ』があります。
【98/10/13】「Internet Explorer 4」の「Cuartango(クアルタンゴ) security Hole」公開
フアン・カルロス・ガルシア・クアルタンゴ氏から、悪意のあるWebサイト運営者のページを訪れると、(もしファイル名が知られていれば)閲覧者のコンピュータの任意のファイルが、悪意があるスクリプトによりWebサイトに送られてしまうというセキュリティー・バグのデモを行う「Cuartango security Hole」が公開されています。
対象は、「Microsoft Internet Explorer 4」と、「Microsoft Internet Explorer 5 Preview版」です。但し、「Microsoft Internet Explorer 4」以前は、対象外のようです。
また、この問題に対応するhotfixは,数日でリリースされる?ようです。
影響は、悪意のあるWebサイト運営者のページを訪れると、(もしファイル名が知られていれば)閲覧者のコンピュータの任意のファイルが、悪意があるスクリプトによりWebサイトに送られてしまうということと、クリップボードのコンテンツも、Webサイトに送られてしまうということです。パソコン上のファイル名は、決まりきったインストールのままですと、誰にでも分かりますので、このセキュリティー・バグは非常に危険です。
回避方法は、JavaScript機能をオフに設定することです。
尚、WIRED NEWSの10月9日付けの関連翻訳記事「IEに次々とセキュリティー・ホール」があります。
P.S. 現在出張中ですが、ホテルが高層でどうしても部屋からPHS経由でftpできないので、ホテルの廊下からこの文章のアップロード中です。どうみても怪しい姿ですよね。(^^;)
【98/09/18】速報! Internet Explorerの「Cross Frame Navigate」問題パッチ公開(日本語対応版)
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/09/06】に報告した、Internet Explorerの「Cross Frame Navigate」問題によるセキュリティーホールの日本語対応パッチ「Internet Explorer の Cross Frame Navigate 問題の修正プログラムがご利用になれます」が、9月18日付けで公開されています。
問題の内容に関する「Cross Frame Navigate 問題の詳細」という簡単(^^;)な解説もあります。IEを標準のブラウザに設定していなくとも、IEの HTML 機能を利用するソフトウェア(Outlook Express等)を利用している場合は、修正プログラムをインストールすることが推奨されています。
「Internet Explorer 3」は、今回対応パッチが無い為に、「Internet Explorer 4.01」にアップグレードする必要があります。(Macintosh版の「Internet Explorer 3」は影響無し。)「Internet Explorer 4.x」を普及させたい Microsoft社の、究極?の作戦ですね。
【98/09/06】Internet Explorerの「Cross Frame Navigate」問題によるセキュリティーホール公開
Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-013)」「Fix available for Internet Explorer Cross Frame Navigate Vulnerability」が9月4日付けで公開されています。
対象は、以下のように広範なInternet Explorerです。
○Windows NT 4.0、Windows 95版 「Internet Explorer 4.0、4.01 、4.01 SP1」
○Windows 98に統合されている 「Internet Explorer (version 4.01 SP1) 」
○Windows 3.1、 Windows NT 3.51 版「Internet Explorer 4.0 and 4.01」
○Macintosh 版 「Internet Explorer 4.0 and 4.01」
○Macintosh 版以外の 「Internet Explorer 3.x」
また、Internet Explorer により提供されるHTML機能を利用するソフトも影響を受ける為、Internet Explorer を、自分のコンピュータで標準のブラウザとして使用していなくとも、パッチを適用するようにとされています。
Internet Explorerのセキュリティのカードをかいくぐって、悪意があるWebサイトオペレータが、あなたのコンピュータのローカルのファイルを読み出す可能性があるとのことです。
この問題に対する「Internet Explorer 4」の英語版のhotfixes(パッチ)は、「Fix available for Internet Explorer Cross Frame Vulnerability」で、公開されています。
この問題に対する「Windows 98」の英語版のhotfixes(パッチ)は、「Microsoft Windows Update」で、公開されています。
この問題に対する「Internet Explorer 3」の対応は、最新版の「Internet Explorer 4」にアップグレードし、パッチを適用することのようです。(^^;)
尚、Microsoft Knowledge Base (KB) article Q168485「Fix available for Internet Explorer Cross Frame Vulnerability」(英語情報、IEのみ閲覧可能)があります。
追加情報【98/09/09】:CNET Briefs Tech Newsの9月8日付けの関連翻訳記事「IEのセキュリティー・ホールにパッチ」と、ZDNetの9月7日付けの関連翻訳記事「IEに新たなバグ。MSが公表とともにパッチ用意」と、WIRED NEWSの9月8日付けの関連翻訳記事「マイクロソフト、IEのバグを修正」が出ています。
【98/08/19】Internet ExplorerのJScriptによるセキュリティーホール公開(日本語版パッチあり)
Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-011)」「Update available for "Window.External" JScript Vulnerability in Microsoft Internet Explorer 4 」が8月17日付けの更新で公開されています。
対象は、Windows 95版と Windows NT 4.0版の「Internet Explorer 4.0」,「Internet Explorer 4.01」,「Internet Explorer 4.01 SP1」と、Windows 98です。(IEを取り込んだOSですので当然なのですが、Windows 98だけOSそのものが対象というのは、何だか笑えますね)対象のIEが、内部的に使用する「JScript Scripting Engine version 3.1」に問題があります。
Windows 3.1版,Windows NT 3.51版,Macintosh版,UNIX (Solaris)版の「Internet Explorer 4」は、対象外です。また、「Internet Explorer 3.x」も対象外です。
とても長いストリング(記号列)をもつ「Window.External」関数が、IEを異常終了させます。また、そのような長いストリングは、悪意がある意図をもつ誰かによって意図的に作られなくては出来ません。そしてその際、熟練している攻撃者(残念ながら原文では、また「a skilled hacker」 と記載されています)は、コンピュータで任意のコード(悪意あるプログラム)を走らせることが可能とされています。しかし、あくまで、悪意があるスクリプトを含む意図的にデザインされたWebサイトを、その対象のIEでブラウズしなければ問題ありません。
この問題に対するWindows 95版,Windows NT版のhotfixes(パッチ)は、「Microsoft Scripting Engines Version 3.1b Download」で、公開されています。日本語版も含まれています。
Windows 98の英語版用hotfixes(パッチ)は、「Microsoft Windows Update」で、公開されているようです。クリックして、「製品更新」を開始し、要求された時に「はい」を選ぶと、このパッチが含まれる「Microsoft Windows Update」が、適用される?
ちなみに、私のNT環境では、「Windows Update は、Windows 98 のオンライン拡張機能です。このサイトに最も簡単にアクセスするには、[スタート] メニューの [Windows Update] アイコンをクリックします。Windows Update には、[スタート] メニューまたは [スタート] メニューの [設定] から直接アクセスできます。 」という記述が出てうまくアクセス出来ませんので、詳細不明です(^^;)。
また、パッチを適用することができない利用者は、「オプション」の「セキュリティ」の「制限付きサイトゾーン」および「インターネット」ゾーンで、「カスタム」を選択し「アクティブ スクリプト」を無効にすることによって、この問題を回避可能です。
尚、Microsoft Knowledge Base (KB) article Q191200「Update Available for Window.External JScript Security Issue」(英語情報、IEのみ閲覧可能)や、Microsoft Internet Explorer Security Bulletin「Fix available for "Window.External" JScript security vulnerability issue in Microsoft Internet Explorer 4」があります。
しかし、「Microsoft Windows Update」って、Windows 98に対する初のアップデートですがマルチメディア機能を改良するもので、決してバグ修正の「サービスパック」では無いって言ってたはずじゃ〜(^^;)
CNET社の8月18日付けの関連翻訳記事「米マイクロソフト、Windows 98のアップデートを配布開始」があります。
【98/08/17】電子メールソフトOutlook関連のパッチ公開(日本語版)
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/07/29】に報告した、電子メールソフトの重大なセキュリティーホールに関連し、日本語版のhotfixes(パッチ)である「Outlook Express のファイル添付問題の修正プログラムがご利用になれます」が8月15日付けの最終更新で公開されています。但し、今回配布されているのは、Windows 98、Windows 95 および Windows NT 4.0対象のパッチのみです。
また、『Outlook 98』用の日本語版のhotfixes(パッチ)「Outlook 98 セキュリティ問題修正パッチ プログラム(日本語版)」も8月16日付けで公開されています。(こちらの方は、マイクロソフト株式会社のサイトのトップページからのリンクもあり)
この「モバイル虎の穴」で【98/08/14】に報告した、最初に発見された問題の別変種にも対応可能なようにパッチに対する修正方法を強化し、アップデートしたパッチであるかどうか?は、明言されていませんが、少なくとも今回公開されている『Outlook 98』の「OUTPTCH2.EXE」というパッチは、アップデートしたパッチと同一のモジュール名です。
【98/08/14】電子メールソフトのパッチ再リリース及び、添付ファイル「Ie080898.exe」問題
Microsoft社から、この「モバイル虎の穴」で【98/07/29】に報告した、電子メールソフトの重大なセキュリティーホールに関連し、最初に発見された問題の別変種にも対応可能なようにパッチに対する修正方法を強化し、アップデートしたパッチを再リリースした「Updated Patches for Microsoft Outlook and Microsoft Outlook Express Security Vulnerabilities are Now Available」が8月11日付けの更新で公開されています。
再リリースされたhotfixes(パッチ)の内、Internet Explorerに含まれる『Outlook Express』用は、「Fix available for Outlook Express File Attachment issue」(英語版)、『Outlook 98』用は、「Updated Patch for Outlook 98 Security Issue」(英語版)です。
また、FAQである「Frequently asked questions regarding the recent e-mail client security issues」もあります。
ちなみに、マイクロソフト社製ソフトウェアを補修するという添付ファイル(「Ie080898.exe」)が付けられた偽の電子メールがインターネットに出回っているようです。(下記記事を参照) うっかりその「Ie080898.exe」(悪意のある「トロイの木馬」方式プログラム)を自分のマシンで実行させてしまうと、ブルガリアの様々なインターネット組織に多量の電子メールを送るもののようです。この「Ie080898.exe」に限らず、電子メールに添付される実行ファイルは、絶対に実行しないようにしましょう。
尚、ワイアード・ニュースの8月12日付けの関連翻訳記事「MSが電子メール対策を強化」があります。
【98/07/29】電子メールソフトの重大なセキュリティーホール公開
Microsoft社から、セキュリティ関連の警告レポート「Microsoft Security Bulletin (MS98-008)」「Update Available For Long Filename Security Issue affecting Microsoft Outlook 98 and Microsoft Outlook Express 4.x」が7月27日付けの更新で公開されています。
対象は、「『Outlook 98』(Windows 95、Windows 98、Windows NT版)」、「Internet Explorer 4.0、4.01、Service Pack 1適用版の4.01に含まれる『Outlook Express』(Windows 95、Windows 98、Windows NT版)」、「Internet Explorer 4.01に含まれる『Outlook Express』(Solaris版)」、「Internet Explorer 4.01に含まれるOutlook Express(Macintosh版)」です。
マイクロソフト製品に限らず各電子メールソフトが、非常に長いファイル名(200文字以上)の添付ファイル付きのメールを取り込み、その添付ファイルを、オープンあるいは起動しようと試みる際に、電子メールソフトがクラッシュする可能性があります。また、熟練している攻撃者(残念ながら原文では「a skilled hacker」 と記載されています)は、コンピュータで任意のコード(悪意あるプログラム)を走らせることが可能とされています。
これは、ファイルの添付に使用するMIME形式のヘッダーの長さをチェックしない「考慮漏れ」を悪用して、電子メールソフトにバッファ・オーバーフローを起こさせ、クラッシュもしくは、任意のコードを走らせる手口のようです。また、添付ファイル=悪意のあるプログラムではなく、添付ファイルは単なる画像ファイルやテキストの可能性があります。
この問題に対する『Outlook 98』(Windows 95、Windows 98、Windows NT版)のhotfixes(パッチ)は、「Drivers and Other Downloads」(英語情報、IEのみ閲覧可能)の「outpatch.exe」です。また、このパッチは、全言語版の『Outlook 98』(all language versions of Microsoft Outlook 98)に適用可能です。
次に、この問題に対するInternet Explorerに含まれる『Outlook Express』のhotfixes(パッチ)の提供状況説明は、「Fix available for Outlook Express File Attachment issue」にあります。ただ、現状では英語版のみです。
そして、この問題は、Netscape CommunicationsのCommunicatorに含まれる電子メールソフトも対象であり、Netscape Communications社から、「Long Filename Mail Vulnerability」が7月27日付けで公開されています。
対象は、「Netscape Communicator 4.0〜4.05(Windows 3.1, Windows 95、Windows 98、Windows NT版)」 と 「Netscape Communicator 4.5 Preview Release 1(Windows 95、Windows 98、Windows NT版)」です。また、「Communicator 4.0x」のパッチは2週間以内にリリースされ、問題に対応した「Communicator 4.5 Preview Release 2」もリリースされます。
もし、このセキュリティ・ホールを利用した攻撃を受けた際にも、単に非常に長いファイル名(200文字以上)の添付ファイル付きのメールを、受信する(メールサーバの自分のメールボックスから取り出す)だけで悪意のあるプログラムが動き出す訳ではなく、やはり、何らかのアクション(非常に単純過ぎて恐いのですが..)が契機になります。その為、攻撃の回避は可能です。
(このあたりは、各ニュースサイトで微妙に見解が異なっていますね。)
『Outlook Express』に攻撃を受けた場合は、非常に長いファイル名(200文字以上)の添付ファイルを「クリック」せずに、「ファイルメニュー」から「Save Attachment」を選択してハードディスクに保存すれば、悪意のあるプログラムは動き出さないようです。また、ハードディスクに保存した添付ファイルは、閲覧してOKです。【「Update Available For Long Filename Security Issue affecting Microsoft Outlook 98 and Microsoft Outlook Express 4.x」の「Administrative workaround」の項を参照】
また、「Netscape Communicator」に攻撃を受けた場合は、非常に長いファイル名(200文字以上)の添付ファイル付きのメールを受け取り、そのメールを選択した後に、「ファイルメニュー」を操作しなければ、悪意のあるプログラムは動き出さないようです。また、添付ファイルはマウス右クリックの「Save Link As」コマンドを用いてハードディスクに保存し、オリジナルのメールを削除すればOKです。またその場合メールソフト終了時も、「ファイルメニュー」は操作してはならず、必ずウィンドウの右上の×ボタンを使用して終了する必要があります。尚、ハードディスクに保存した添付ファイルは、閲覧してOKです。【「Long Filename Mail Vulnerability」の「How to Avoid the Vulnerability」の項を参照】
(間違っているかもしれませんので、詳細は、各レポートをご覧下さい。)
理論的にこういうことが出来るよ!と報告されているレベルで、実際にアタック事例が出ている訳ではなさそうですので、あまり神経質になってメール使用を即停止する必要まではなく、こういうセキュリティ・ホールを利用した攻撃がありうると、まずは認識し注意する段階で良いのでは?と思います。しかし、今後ともこのセキュリティ・ホールに関する情報をウォッチし、速やかに適切なパッチを当てることや製品をレベルアップすることは必須です。また、見ず知らずの得体の知れない相手からのメールに注意することは、この件に限らず常識です。
尚、CNET社の7月28日付けの関連翻訳記事「電子メールソフトにセキュリティーホールが見つかる」や、ワイアード・ニュースの7月28日付けの関連翻訳記事「電子メールに危険なセキュリティ・ホール」、CIACの7月28日付けの警告レポート「I-077A: Mime Name Vulnerability in Outlook and Messenger」、日経インターネットテクノロジーの7月28日付けの関連記事「【速報】MicrosoftとNetscapeの電子メール・ソフトにセキュリティ・ホール」があります。
(追加情報【98/07/30】:CNET社の7月29日付けの関連翻訳記事「MSが公開したメールソフト用パッチに欠陥」が出ました。
【98/05/25】「IE 4.01 Service Pack 1」公開(日本語版)
マイクロソフト株式会社から、これまで修正プログラムで提供していたセキュリティ問題や、西暦 2000 年問題にも対応した「Internet Explorer 4.01 Service Pack 1 日本語版 for Windows 95 / Windows NT 4.0」がリリースされた情報を含む「Internet Explorer ホーム ページ」が5月21日付けで公開されています。
このService Pack 1 は、現在ダウンロード可能な「Internet Explorer 4.01 for Windows 95 and Windows NT 4.0」には含まれている為、適用対象は、Windows 95,Windows NT 4.0 用のビルド番号が「4.72.3110.8」より古い「Internet Explorer 4.01」です。([ヘルプ] メニューの [バージョン情報] でタイトルの下に表示される数字がビルド番号です。)
「ダウンロードのページ」もありますが、「Internet Explorer 4.01 Service Pack 1 日本語版 for Windows 95 / Windows NT 4.0」を収録したCD-ROMを実費 (1,000 円、消費税等別)で提供する「CD-ON-CALL (シーディー オンコール) プログラム」もあります。
【98/04/30】「NetMeeting 短縮ダイヤル問題」のセキュリティ・バグ対応公開(日本語版)
マイクロソフト株式会社から、悪意のある Web サイトが、特別に編集された NetMeeting の短縮ダイヤル オブジェクトにリンクして NetMeeting をクラッシュさせることができ、またNetMeeting がクラッシュすると、高度な知識のあるハッカーはコンピュータのメモリで任意のコードを実行可能というセキュリティ・バグの修正パッチ、及び対処済み最新版情報の日本語版「NetMeeting 短縮ダイヤル問題の修正プログラムがご利用いただけます」が4月28日付けで公開されています。対象は、Windows 95,Windows NT 4.0 または Windows NT Alpha 版の NetMeeting 1.0、2.0 または 2.1 を実行しているユーザーです。
この問題って、目ざとい「CNET社の翻訳記事」でも、フォローされてなかったんですよね。
【98/04/17】IE IE 4.0/4.01対象「EMBEDタグ」セキュリティ・バグ対応公開(日本語版)
マイクロソフト株式会社から、この「モバイル虎の穴」で【98/04/07】に報告した悪意あるウェブページ作成者の「EMBED」タグにより、Microsoft Internet Explorer IE 4.0と、4.01をクラッシュさせたり、故意に悪意のあるプログラムを実行させられてしまうような可能性もあるバグの修正パッチ情報の日本語版「EMBED 問題の修正プログラムがご利用になれます」が4月16日付けで公開されています。対象は、「Windows 95 and Windows NT版 IE 4.0/4.01」と、それ以外にも「Macintosh版 IE 4.0,3.0/3.01」(現在、パッチ未公開)です。
IEで、このページをアクセスすると、種別やレベルを区別して必要なfix(修正パッチ)のダウンロード・ページに飛ばしてくれる機能を使用することが可能です。
尚、英語版のサイト「fix for the Embed issue」では公開されている「Unix版 IE 4.0」のfixが、何故かこちらでは公開されて無いと思ったら、そもそも「Unix版 IE 4.0」日本語版が無いんですね。(^^;)
【98/04/07】IE IE 4.0/4.01対象「EMBEDタグ」セキュリティ・バグ対応公開(英語版のみ)
Microsoft社から、この「モバイル虎の穴」で【98/03/24】に報告した悪意あるウェブページ作成者の「EMBED」タグにより、Microsoft Internet Explorer IE 4.0と、4.01をクラッシュさせたり、故意に悪意のあるプログラムを実行させられてしまうような可能性もあるバグの修正パッチ情報「fix for the Embed issue」が3月31日付けで公開されています。対象は、お知らせ済みの「Windows 95 and Windows NT版 IE 4.0/4.01」と、それ以外にも「Macintosh版 IE 4.0/4.0a,3.0/3.01」(現在、パッチ未公開)と「Unix版 IE 4.0」です。
IEで、このページをアクセスすると、種別やレベルを区別して必要なfix(修正パッチ)のダウンロード・ページに飛ばしてくれる機能を使用することが可能です。また、このfix(修正パッチ)は英語版専用になりますので、日本語版に関しては「Internet Explorerのセキュリティ」をウォッチする必要があります。
尚、本来は「Windows 98」も対象なのですが、さすがにそれ用のfixは、公開されていませんね。(^^;)
【98/03/24】IE IE4.0(1)をクラッシュさせる新たなバグ情報
Georgi Guninski氏から、この「モバイル虎の穴」で【98/03/19】に報告した「OBJECT」タグに引き続き、今度は悪意あるウェブページ作成者が「EMBED」タグにより、Microsoft Internet Explorer 4.0と、4.01をクラッシュさせるバグの情報「Info about crashing MSIE 4.0(1) 」が公開されています。対象は、Windows 95と98とNT4.0用のIE 4.0と、4.01のようです(3.02は対象外)。
テストしてみると、NT配下のIE4.01も「ワトソン博士」が出てIEがクラッシュし、95配下のIE4.0もクラッシュました。「EMBED」タグで記述された長いファイルの拡張子が、内部的なオーバーランを積み重ねることが原因のようです。ちなみに、「MK Overrun 問題」のように、故意に悪意のあるプログラムを実行させられてしまうような可能性もあるようです。極端な話、悪意のある誰でも仕掛けることの出来る内容の為、IE 4.0と、4.01を使用している場合、怪しいページには行かないことしか、自衛手段はありません。尚、Microsoft社の正式コメントのドキュメントを私はまだ発見していません。IEセキュリティに関する正式コメントは、「Internet Explorer Security」にあがるはずですので、ウォッチする必要があります。
【98/03/19】IE IE4.01をクラッシュさせるバグ情報
Microsoft社は、悪意あるウェブページ作成者が、HTMLの「OBJECT」タグを使ってIEをクラッシュさせることが可能なバグを認識したようです。対象は、Windows 95とNT4.0用のIE4.01で発見されているようです。ちなみに、「MK Overrun 問題」のように、故意に悪意のあるプログラムを実行させられてしまうような致命的な問題ではなさそうです。(まだ、正式コメントのドキュメントを私は発見していません。)尚、CNET社の関連(翻訳)記事「IE4.01をクラッシュさせるバグ」が公開されています。
【98/01/29】IE「MK Overrun」セキュリティ・バグ対応公開(日本語版)
マイクロソフト株式会社からこの「モバイル虎の穴」で【98/01/20】に報告した「MK Overrun 問題」の修正プログラム「MK Overrun 問題の修正プログラムがご利用になれます」が公開されています。これは、悪意のあるWebサイトで、特定の URL ("mk://" ) にブラウザがサポートする以上の文字数を含んでいる場合に発生し、場合によっては故意に悪意のあるプログラムを実行させられてしまう可能性もあるセキュリティ・バグで、NTも影響を受けます。尚、Windows 3.1 and Windows NT 3.5、及びMacintoshに対応した「Internet Explorer」は、対象外です。
【98/01/20】IEIE 4.0/4.01対象「MK Overrun」セキュリティ・バグ対応公開(英語版のみ)
Microsoft社からこの「モバイル虎の穴」で【98/01/16】に報告した変種"Buffer Overrun問題"の修正パッチ「Fix available for MK Overrun issue」が公開されています。「MK オーバーラン」という名称は、 "mk://" という先頭文字列の極端に長いURLを使うことによりこの問題が発生する為です。また、Windows 3.1, Windows NT 3.5, Macintosh, Unixの各バージョンは対象外です。尚、日本語版への対応は、未定です。
【98/01/16】IE「MK Overrun」セキュリティバグ情報公開
L0pht Heavy Industriesから「L0pht Heavy Industries Security Advisories」のページにMicrosoft Windows 95とWindows NT上でMicrosoft Internet Explorer 4.0/4.01が使用しているコンピュータの動作異常もしくは、任意のコードを実行させられる(システム破壊の可能性もある)セキュリティ・バグに関する「Viewing remote HTML content can execute arbitrary native code」が公開されています。悪意のある情報発信者の仕掛ける極端に長いURLにアクセスした際の、HTMLデコーディング・プロセスのバッファー・オーバーフローの処理の不備を突いたものです。この「モバイル虎の穴」で【97/11/15】に紹介した「res://」というURLの先頭文字を利用した"Buffer Overrun問題" に似ていますが、今回は、ナントNTも影響を受けます。また、Visual Studio (VC++,J++等がセットになっている)がインストールされていればInternet Explorer 3.0でも影響があると指摘されています。尚、Microsoft社からの情報提供は、まだ行われていません。関連記事にCNET社の「IE 4 URL bug resurfaces」があります。(翻訳記事が出た時点で、URLを差し替えます)
【97/12/05】IE「ページ・リダイレクト」バグ修正も含む「Internet Explorer 4.01」公開(日本語版)
マイクロソフト株式会社からこの「モバイル虎の穴」で【97/11/23】に報告した「ページ・リダイレクト」バグ修正も含むInternet Explorerの新バージョンの日本語版「Internet Explorer 4.01日本語版」が公開されています。昨日予測した通りになりましたね。尚、「Internet Explorer 4.0日本語版」が既に組み込んである場合、インターネットに繋がった状態で、メニューの中の「ヘルプ」の「製品更新」を行うことにより、「Internet Explorer 4.01日本語版」へ更新可能です。
【97/11/23】IE「ページ・リダイレクト」バグ修正用パッチ公開(英語版のみ)
Microsoft社からインターネットエクスプローラ(IE)の、あるサイトにIDとパスワードでログインし、そのサイトが別のサイトにリダイレクトした場合、次のサイトでもIDやパスワードが読み出せてしまう「ページ・リダイレクト」バグ修正用パッチ(今回Windows95/NT 4.0用のIE3.02/IE4.0対応のみ)を公開した「Fix now available for Page Redirect issue」が公開されています。Windows 3.1, Windows NT 3.51やMacintoshは対象外です。現在提供されているのは英語版用パッチのみで、日本語版対応はリリース待ちです。CNET社からは、この「ページ・リダイレクト」バグに関する記事マイクロソフトが「リダイレクト」バグを修正(日本語訳)も公開されています。
【97/11/15】IE「Buffer Overrun」バグ修正用パッチ公開(日本語版)
マイクロソフト株式会社からWindows 95版のInternet Explorer 4.0 で "Buffer Overrun問題" として知られるセキュリティバグ対策の日本語版のパッチ(NTは影響ありませんので、パッチを適用しようとしてもはじかれます)も含む「Internet Explorer セキュリティ情報」が公開されています。不具合に内容は、「res://」というURLの先頭文字を利用し、257文字目以降(IE4.0は、通常256文字以上のURLを受け付けない)に実行コードを埋め込むことで、その実行コードがそのまま渡ってしまい、ローカルなプログラムを動作させられる可能性があるというものです。日本語版のパッチ(0.9MB)は、「Buffer Overrun Patch for Windows 95 - Japanese Version」で入手可能です。しかし、肝心な「Internet Explorer セキュリティ情報」のページがIE4.0以外(IE3.Xでさえ閲覧不可)では見れないようにわざわざ作成してあるとは、参ってしまいます。英語の同情報のページ「Internet Explorer Security」はちゃんと、一般のWebブラウザで見れますヨ〜!
【97/10/22】IE「Freiburg テキスト表示問題」バグ修正用パッチの再公開(日本語版)
マイクロソフト株式会社からInternet Explorer 4.0 で "Freiburg テキスト表示問題" として知られるセキュリティバグ対策の、10/21までの間にダウンロードした日本語版のパッチの不具合を記載した「"Freiburg" テキスト表示問題の修正プログラムがご利用いただけます」が修正公開されています。不具合に内容は、一部のダイアログボックスが正しく表示出来ないというものです。対象の人は、10/22以降に提供されたパッチを再度ダウンロードして適用する必要があります。私の使用しているNT環境(富士通FM-V ペンティアムプロ200MHzのデスクトップマシンに、NT Server V4.0を稼動させてます。普通個人でNT Server使わないってば! Toshiba Libretto 50CTワールド仕様には、個人データが全て入っていますが、LAN経由でディスク共有しています)には10/20時点でダウンロードしたパッチをあてていますのでビンゴ!ですが、不具合は残念ながら?出ていません。レアものとして自慢しようと思ったのですが...(^^;)
【97/10/20】IE「Freiburg テキスト表示問題」バグ修正用パッチの公開(日本語版)
マイクロソフト株式会社からInternet Explorer 4.0 で "Freiburg テキスト表示問題" として知られるセキュリティバグから、ユーザーのコンピュータを保護するための修正プログラムを提供する「"Freiburg" テキスト表示問題の修正プログラムがご利用いただけます」が公開されています。セキュリティバグ内容は、ユーザーのコンピュータに損傷を与えたり、操作を可能にするものではありません。スクリプト実行を利用した悪意のあるWebサイトの仕掛けで、ユーザーのハードディスク内のテキスト、HTML および画像形式のファイルから、その内容を取得する(ファイルの内容を表示する)可能性があるというものです。 早速、公開された日本語対応も含まれるパッチ(注:このページはNetscape Navigator 4.xからは完全に見えません!)を適用(0.9MB)しましたが、私のNT環境では全く問題無く適用可能でした。日本語版を含めた素早い対応にはビックリしました。ただ、パッチが0.9MBもあるのは、ダイヤルアップユーザにはつらいですね。
【97/08/13】IE「Java Redirect」問題情報公開
Microsoft社からJavaの実行に関するセキュリティー問題「Java Redirect Security Issue Identified」が公開されています。内容は、IEがダウンロードしたアプレットが、他サーバーへコネクションを張ることを許可してしまう(Javaの仕様では許されていない)というもので、Internet Explorer バージョン3.0 と 4.0が対象で、プラットフォームはWindows 95/Windows 3.1/Windows NT 3.51 and 4.0の全てです(Macintosh版は影響無し)。対応版は作成中です。もうしばらく、ネットワーク・ローダブル・オブジェクトである「Java」「ActiveX」や、スクリプトである「JavaScript」は全部止めた方が良いでしょうね。
【97/07/28】IE「JavaScriptセキュリティバグ」修正用パッチ公開(英語版のみ)
Microsoft社から【97/07/11】にこのページでお知らせした一般利用者のWeb活動をモニターするJavaScriptセキュリティバグに対応した「Fix for JavaScript Privacy Problem Discovered by Bell Labs Now Available! 」が公開されています。Internet Explorer 3.02 for Windows95 and Windows NT4.0用の「Updateファイル」(英語版)が公開されています。但し、未だ「Updateファイル」組み込みをやっていないことが条件であり、組み込み後の修正は別途(先週末予定のはず?)公開されます。尚、日本語版への対応は、未定です。
【97/07/11】NC,IE「JavaScriptセキュリティバグ」情報
CERT/CCから一般利用者のWeb活動をモニターする(訪問したドキュメントのURLを観測する等)のを可能にするスクリプト言語のJavaScriptセキュリティバグ「JavaScript Vulnerability」が公開されています。対処方法は、この問題のためのブラウザのパッチ(もしくは対処版の製品)を入手するか、ブラウザでJavaScriptを無効にするしかないようです。Microsoft社はここで、Netscape Communications社はここで対応を公開しています。尚、昨日ご紹介した「Netscape Navigator 3.02」はこの件に対応済とのことです。まあ、JavaScriptを無効化しちゃえばOKですね。なんだか、ちょとのことでは、ビックリしなくなって明らかに感覚が麻痺しつつありますね。(実は、作戦だったりして...)
【97/04/28】日経ネットナビから最新版IE3.02へのアップグレードを行っていない場合に発生する可能性がある「Internet Explorerのセキュリティ問題について」が公開されています。根本的な解決ではなく単に警告を発するだけですが、IE3.02へのアップグレードは最低でも行うことをお薦め致します。
【97/04/03】あさだ たくやサンからインターネットエクスプローラ、インターネットメール&ニュースの起こしがちなトラブルを防ぐ為の「Microsoft Internet Mail & News の設定」が公開されています。非常に良く出来た内容で、必見です。
【Winセキュリティ虎の穴】へ戻る
このページに関するご意見ご感想は山下 眞一郎(E-mail:yama@bears.ad.jp)までどうぞ。
All Rights Reserved, Copyright Fujitsu Minami-Kyusyu Systems Engineering Limited 1996.