.
「OE用の累積的な修正プログラム」2003年4月24日更新版も同日に公開
“MHTML URLハンドラ”の脆弱性に起因するセキュリティ問題が修正される
(03/04/24)
マイクロソフト(株)は24日、「IE用の累積的な修正プログラム」(別記事参照)を公開した同日に、「Outlook Express」(以下、OE)v5.5/6のセキュリティ問題を修正する「OE用の累積的な修正プログラム」の2003年4月24日更新版も公開した。現在同社のセキュリティ情報公開サイト“TechNet”や“Windows Update”機能を利用して各バージョン用の修正プログラムを無償でダウンロードできる。
OE用の今回公開された修正プログラムでは、2002年10月11日更新版の累積的修正プログラムの修正内容に加え、深刻度が最高の“緊急”レベルに定義された“MHTML URLハンドラ”の脆弱性に起因する、セキュリティ問題1つが修正される。“MHTML”は“MIME Encapsulation of Aggregate HTML”の略語で、“Encapsulation”(カプセル化)という言葉が示すように、画像ファイルなどを使用したHTMLメールやWebページで、1ページ分の関連ファイルをすべて1つのファイルに埋め込むことができるのが特長のフォーマット。“MHTML URLハンドラ”は、プロトコル“MHTML://”に続けて任意のMHTMLファイルを指定した際に、MHTML形式のファイルがIEで開かれるように関連付けている処理ルーチン。“MHTML URLハンドラ”の脆弱性とは、ローカルパソコン内に存在するテキストファイルを“MHTML://”で開くと、そのテキストファイルをHTMLとして表示してしまう可能性があり、テキストファイルに記述されているスクリプトをローカルコンピュータのセキュリティレベルで実行してしまう恐れがあるというもの。
たとえば、攻撃者が作成したWebページ内やメール内に“MHTML://”のリンクが仕組まれていると、そのリンクをクリックしたユーザーのパソコンに存在するファイルが読み取られてしまったり、ファイルに記述されているスクリプトを実行してしまう恐れがあるとのこと。また、既存のOE用修正プログラムを適用していない場合や、OEの設定次第では、クリックしなくてもスクリプトを実行してしまう可能性があるので注意しよう。“MHTML URLハンドラ”はOEの一部であるため、同脆弱性を修正するには、今回公開された「OE用の累積的な修正プログラム」を適用する必要がある。なお、同修正プログラムを適用した後には、“MHTML://”でMHT/MHTML形式以外のファイルを開けなくなり、同脆弱性が排除されるという。
□Outlook Express 用の累積的な修正プログラム (330994) (MS03-014)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-014.asp
□窓の杜 - 【Release NEWS】マイクロソフト、「IE用の累積的な修正プログラム」2003年4月24日更新版を公開
http://www.forest.impress.co.jp/article/2003/04/24/ms03015.html
(竹元 克己)
トップページへ