現在地 HOME > 掲示板
> IT6 > 425.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT6 > 425.html
★阿修羅♪
|
|
| Tweet |
◎◎◎Opinion:今すぐFirefoxに乗り換えるべき理由【IT_Media】
http://www.itmedia.co.jp/enterprise/articles/0409/30/news049.html
2004/09/30 16:42 更新
IEを使わない場合でも、JPEG処理の脆弱性を完全に回避することはできないが、IEに代わるブラウザの利用を、少なくとも検討くらいはしてみるべきだろう。
画像のないインターネットを想像できるだろうか。Windows、つまりはInternet Explorer(IE)がJPEG(Web上で最もよく使われているフォーマットの一つ)の画像をレンダリングする方法に新しい欠陥が見つかっており、ユーザーは画像を表示すべきかどうかよくよく考えなければならない。この欠陥は、FirefoxなどのIEに代わるインターネットブラウザの利用を、少なくとも検討くらいはしてみるべきだと思わせるものがある。
この欠陥の実証コードは既に出回っている。これまでもそうだったように、実証コードは通常、新しいウイルスやワームの最初のステップとなり、これがウイルスに発展するまでの期間は一般的に2〜3週間といわれている。つまり、ウイルス発生という時限爆弾は、もう仕掛けられている(9月28日の記事参照)。
簡潔に言うとGDI+の脆弱性
Windows 2000以前のWindowsを使っているか、既にWindows XP SP2をインストールしているのなら、この欠陥の影響を免れる。JPEG表示の方法は各種あるが、Graphic Device Interface Plus(GDI+)DLL、つまりgdiplus.dllはWindows 2000とWindows XPのみで実行される。gdiplus.dllはバッファオーバーフロー攻撃を受けやすいことから、感染したJPEGファイル内に潜んでいる悪意あるコードは、潜在的に悪意ある新たなコードがユーザーのコンピュータを乗っ取る(か、少なくともダウンさせる)ことを可能にしてしまう恐れがある。不幸なことに、Windows 2000とXPで動いているアプリケーションもこの攻撃に対して脆弱だ。
Microsoft Officeは脆弱
この脆弱性を抱えたアプリケーションは、以下の通り、少なくない。
Microsoft .NET Framework 1.x
Picture It Digital Image Pro 7.x/9.x
Digital Image Suite 9.x
FrontPage 2002
Greetings 2002
Internet Explorer 6.0
Office 2003 Professional Edition
Office 2003 Small Business Edition
Office 2003 Standard Edition
Office 2003 Student and Teacher Edition
Office XP
Outlook 2002/2003
Picture It 2002/7.x/9.x
PowerPoint 2002/2003
Project 2002/2003
Publisher 2002
Visio 2002/2003
Visual Studio .NET 2002/2003
Word 2002
では、Windows XP SP2をインストールしてシステムにパッチを当てているユーザーが上のアプリケーションを実行するとどうなるのだろう? 信じられないかもしれないが、アプリケーションによって、パッチ適用済みのgdiplus.dllが、古くて脆弱なままのgdiplus.dllに書き換えられてしまう可能性がある。この脆弱性がどんな悪夢をもたらしているか、これでお分かりいただけただろう。このためMicrosoftは、ユーザーのコンピュータの現在の脆弱性を評価する無償のオンラインツールを公開した。
WindowsマシンでMicrosoftのアプリケーションを利用していない場合はどうだろう? 驚くことに、解決がさらに複雑になる可能性がある。
Macromedia製品は脆弱ではない
Macromediaの製品ように、Microsoft以外のアプリケーションの中にも、JPEGファイルを定期的に用いているものがある。Macromediaの一部のアプリケーションは実際、脆弱なgdiplus.dllをインストールする。だが、これらは、JPEGを処理する代わりにMicrosoftのグラフィックスライブリを用いている。つまり、Macromedia Contribute、Dreamweaver、Fireworks、Flash、Flashpaper、FreeHand、RoboSource Control、Studio MXなどの同社製品は、GDIの脆弱性の影響を受けない。ただそれでも、システムにパッチを当てた後にこれらのアプリケーションを起動するときは、これらのアプリケーションがパッチを当てたgdiplus.dllを上書きしないか確認することをお勧めする。この欠陥に対するソフトウェア脆弱性についての詳細はUS-CERTの文書に記されている。
Windows XPへの強制的アップグレード
これとは別だが関連のある出来事として、Microsoftは将来的に、IEのセキュリティ強化は、Windows XPの更新サービスのみを介して提供すると発表している。JPEG関連のワームやウイルスの主な媒介となっているIEだが、そのセキュリティ強化の個別提供を拒否することで、Microsoftは基本的に、Windows XPにアップグレード済みでない人は今後の攻撃から防御されないというメッセージを発している。Windows XPへのアップグレードに必要な平均コストは約99ドル。後の計算は、皆さんにお任せする。
Firefoxは最初の一歩だが、全ての解決にはならない
私の過去のアドバイスを実践している読者は、既にIEから手を引き、MozillaのFirefoxをデフォルトのインターネットブラウザとしてインストールしていることだろう。これなら、ほとんどの場合、今回のJPEG処理の脆弱性を回避できる? いや、そうではない。MicrosoftはIEをWindowsに密にバンドルしているため、IEを使わないからといって完全には回避できないのだ。例えば、JPEG画像を含んだHTML形式の電子メールメッセージを受け取ったとしよう。Outlook 2002かそれ以前のバージョンを利用しているなら、その画像を表示するのにIEを利用する。Webビューを提供するMicrosoft WordなどのOfficeアプリケーションも同様だ。Outlook 2003では少なくとも、画像を表示するかどうか選択できるようになっているが、「表示する」を選択している場合、Outlook 2003はやはりIEを呼び出す。IEをWindowsから削除することも可能だが、レジストリ設定など削除に必要な調整作業を全て説明するには、このコラムの倍の文章量が必要だ。
原文へのリンク
関連記事
JPEG処理の脆弱性悪用画像、今度はAIMのプロフィールに
「JPEG画像ウイルスがまもなく出現」――セキュリティ研究者らが警戒
「プライバシー晒しまくり」のトロイの木馬が残した教訓
GDI+の脆弱性を悪用したJPEG画像がUsenetのニュースグループに
JPEGの脆弱性突いたさらに危険なコードが公開
Windows PCのJPEGフォーマット処理方法に重大な欠陥
そろそろIEを捨てる時?
歴史は繰り返す――今年もMSBlastがやって来る?
[Robert Vamosi,ZDNet/USA]
題名には必ず「阿修羅さんへ」と記述してください。