現在地 HOME > 掲示板
> IT1 > 537.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 537.html
★阿修羅♪
|
|
ITProに出ていた記事です。日付は一寸古いですが、、。
MSN Messengerに深刻なホール,すべてのIEユーザーは対策を
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20020509/1/
マイクロソフトは5月9日,MSN Messengerなどに含まれるActive Xコン
トロール「MSNチャットコントロール」の深刻なセキュリティ・ホールを
公表した。同コントロールがインストールされた環境で,ある細工が施さ
れたWebページやHTMLメールを閲覧すると,任意のプログラムが実行され
る恐れがある。
影響を受けるのは,MSNチャットコントロールを含むMSN Messengerや
Exchange Instant Messenger。ただし,Messengerなどを使用していなく
ても,意識せずにチャットコントロールをインストールしている場合が十
分ありうるので,すべてのInternet Explorer(IE)ユーザーが対策を施
す必要がある。セキュリティ・ホール情報と同時に公開されたパッチ(修
正プログラム)を適用すれば影響を回避できる。
また,同社のチャット・サービス「MSNチャット」を利用しても同コン
トロールはインストールされるので,一度でもサービスを利用したことが
あれば影響を受ける。なお,Windows XPにインストールされている
Windows Messengerは同コントロールを含まないので影響を受けない。
MSNチャットコントロールには,バッファ・オーバーフローのセキュリ
ティ・ホールが存在する。そのため,コントロールを呼び出して,長い文
字列(パラメータ)を渡すようなHTMLページ作成し,ユーザーにIEや
Outlook Express/Outlookで閲覧させれば,文字列に仕込んだプログラム
をユーザーのパソコン上で実行させることが可能となる。非常に深刻なセ
キュリティ・ホールであり,これを悪用したウイルス(ワーム)を作成す
ることも可能である。
公開されているパッチを適用すれば,影響を回避できる。また,HTMLペ
ージからコントロールを呼び出せないように,IEやOutlook/Outlook
Expressを設定変更することでも,影響を回避できる。具体的には,セキ
ュリティ設定でアクティブ スクリプトの機能などを無効にする(関連記
事)。Outlook/Outlook Expressでは,「制限付きサイトゾーン」でメー
ルを開くようにする(Outlook 2002 や Outlook Express 6 ではデフォル
トで制限付きサイトに設定されている)。とはいえ,設定を変更していて
もパッチの適用は不可欠だ。
今回のパッチは,MSNチャットコントロールを更新するものではない。
レジストリを変更して,IEからMSNチャットコントロールを利用できなく
するプログラムである。そのため,米Microsoftでは,パッチの適用は暫
定的な処置であるとしている。パッチを適用することが第一であるが,そ
の後で修正されたチャットコントロールやMSN Messengerなどをインスト
ールする必要がある。
修正されたチャットコントロールなどのダウンロード方法については,
米Microsoftのページには詳しいが,マイクロソフトのページにはまだ情
報がない。公開され次第,ユーザーは修正版をインストールしたい。
【5月10日追記】マイクロソフトは5月9日付けで,要約情報ではない日本
語情報を公開した。その中では,修正されたチャットコントロールなどの
ダウンロード方法を紹介している。
◎参考資料
◆MS02-022に関する情報(要約情報,マイクロソフト)
◆Unchecked Buffer in MSN Chat Control Can Lead to Code Execution(英語,米Microsoft)
◆MSN Messenger OCX Buffer Overflow(英語,今回のセキュリティ・ホールを発見した米eEye Digital Security)
◆MSNチャットコントロールの未チェックのバッファによりコードが実行される (Q321661) (MS02-022)(マイクロソフト)
(勝村 幸博=IT Pro)
題名には必ず「阿修羅さんへ」と記述してください。