クロスドメイン・セキュリティ・モデルに関連する脆弱性により、攻撃者の任意のコード実行を許容する危険性などを含む、Internet Explorer用の累積的な修正

　マイクロソフトは、Internet Explorer（IE）に新たに3つの脆弱性が確認されたことを発表しました。これらの脆弱性が悪用されることにより、攻撃者によって任意の実行ファイルが実行されたり、ユーザーの意図しないファイルがコンピュータ上に保存されたりします。また、現在訪問している実際のWebサイトとは異なるURLをアドレス・バーに表示させることで、偽装サイトを悪用した個人情報窃取の危険性があります。

　IE向けに提供された前回の累積的な修正プログラムである「TechNetセキュリティ：MS03-048（Internet Explorer用の累積的なセキュリティ更新）」では、適用によって3つの不具合が発生することが明らかになっています。これらの不具合のうち、2つ（「ショートカット・メニューの動作が不正になる不具合」「IEの画面スクロールが正しく行われなくなる不具合」）はMS04-004で解消されていることを確認しました。残りの1つの不具合については、MS04-004の修正プログラムでも引き続き問題が発生します（詳細については、以下の「DA Lab：HotFixテスティング・チームからのコメント」を参照）。ただ、これらの不具合は、実用上それほど致命的なものではありません。今回解消される脆弱性の中には、すでに攻撃に悪用が可能な実証コード（エクスプロイト・コード）が公開されているものも含まれています。脆弱性を悪用したワームやウイルスなどによる攻撃の可能性がありますので、至急、検証を開始し、適用作業を行ってください。

［お詫びと訂正］HotFix Alert速報版において、再起動の必要性を「なし」としておりましたが、「あり」の誤りでした。お詫びして訂正させていただきます。ただしコンピュータを再起動しても、管理者権限で再ログオンする必要はありません。

　今回、修正プログラムでは以下の脆弱性などが解消されます。

・IEのクロスドメイン・セキュリティ・モデルに関連する脆弱性（最大深刻度＝1：緊急）
　IEのクロスドメイン・セキュリティ・モデル（別ドメインのウィンドウが情報を共有しないようにする機能）の脆弱性は、既出の修正プログラム「TechNetセキュリティ情報：MS03-032（Internet Explorerがオブジェクトの種類を適切に確認できないため任意のプログラムが実行できる可能性などを含む、Internet Explorerの累積的な修正）」「TechNetセキュリティ情報：MS03-048（クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正）」において修正されています。しかし今回、これらとは異なるクロスドメイン・セキュリティ・モデル関連の新たな脆弱性が確認されています。

　今回解消されるIEのクロスドメイン・セキュリティ・モデルに関連する脆弱性は、Travel Logに起因するもので、スクリプトURLを検証するために使用されるプロセスが原因で起こります。Travel Logとは、Webブラウザの制御について、ナビゲーション・スタックを保持するインターフェイスです。このスタックは、最近訪問したWebサイトの一覧を保持するために使用されます。この脆弱性を悪用することにより、攻撃者によって任意の実行ファイルが実行される可能性があります。

・IEのDHTML（ダイナミックHTML）イベント中で関数ポインタを使用したドラッグ＆ドロップ操作の実行に関連する脆弱性（最大深刻度＝2：重要）
　ドラッグ＆ドロップ操作において、特定のDHTMLイベントを検証する処理の過程に脆弱性があるため、特別に細工されたリンクをユーザーがクリックすると、意図しないファイルがユーザーのコンピュータに保存される危険性があります。この際、ユーザーにダウンロードを承認するよう要求するダイアログボックスは表示されません。直接、ファイルが実行されることはありませんが、デスクトップ上に保存するなど、ユーザーの錯誤によって実行されるように仕掛けられる危険性があります。また、別の脆弱性と組み合わせて、保存されたファイルが実行される懸念もあります。

・ベーシック認証の「username:password@」を含むURLの解析に関する脆弱性（最大深刻度＝2：重要）
　ベーシック認証のユーザー名とパスワードを埋め込んだURLの解析処理に脆弱性があるため、現在訪問しているWebサイトとは異なるURLがアドレス・バーに表示される危険性があります。この脆弱性を悪用することで、例えば実際にはwww.hotfix.jpに接続させていながら、IEのアドレス・バーにはwww.d-advantage.comと表示させることが可能です。これを悪用する例として、有名なWebサイトを装った偽のサイトにユーザーを誘導した上で、個人情報などを入力させて情報を取得することなどが考えられます。特にショッピング・サイトなどに偽装されている場合、個人情報とクレジット・カード情報などが奪われる危険性があります。

　MS04-004の修正プログラムの適用により、URLの解析方法が変更され、ベーシック認証の「username:password@」を含むURLでは、そのWebページへ接続できなくなります。従ってこの方法でWebページへのアクセスをユーザーに行わせているサイトでは、アクセス方法の設計変更が必要になります。Webサイトの管理者は、この点についてもご注意ください。

■修正プログラム適用後の注意
　MS03-048などのIEの累積的な修正プログラムと同様、マイクロソフトの「サポート技術情報：811630」から最新のHTMLヘルプ・コントロールのインストールが必要となります。最新のHTMLヘルプ・コントロールがインストールされていない場合、MS04-004の修正プログラムを適用することで、HTMLヘルプ機能が使用できなくなりますのでご注意ください。

・マイクロソフト サポート技術情報 811630（window.showHelp() メソッドで呼び出されたときの機能を制限するためのHTMLヘルプの更新）：
http://support.microsoft.com/default.aspx?scid=kb;ja;811630

■Windows Media Playerの修正プログラムのインストールを推奨
　以前の累積的な修正プログラムであるMS03-040／MS03-048では、「サポート技術情報：828026」のWindows Media Playerの修正プログラムも合わせて適用することが推奨されていました。DA Labで検査したところ、今回のMS04-004についても、このMedia Playerの修正プログラムを追加適用する必要性は変わりませんでした。しかし、その後この修正プログラムに一部のURLスクリプト・コマンドが機能しないという不具合が見つかったため、改訂版の修正プログラムがリリースされています。改訂版の修正プログラムについては、「サポート技術情報：832353（「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURLスクリプト コマンドが機能しない）」を参照してください。

　なお、この修正プログラムについても、内蔵するインストーラのUpdate.exeが不具合を発生させるバージョンであるなど、問題が見つかっています。詳細については、「HotFix Weekly：2004/01/28日版（「サポート技術情報：828026」の修正プログラム適用後、Windows Media Playerの一部のURLスクリプト・コマンドが機能しなくなる不具合）」を参照ください。

　「サポート技術情報：832353」の修正プログラムを適用していない場合は、今回のMS04-004の修正プログラムと合わせて、適用を行ってください。

・サポート技術情報 832353（「サポート技術情報」の資料828026に記載されているWindows Media Playerの更新を適用後、一部のURLスクリプト コマンドが機能しない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;832353

・HotFix Weekly 2004/01/28日版（「サポート技術情報：828026」の修正プログラム適用後、Windows Media Playerの一部のURLスクリプト・コマンドが機能しなくなる不具合）：
http://www.hotfix.jp/archives/alert/2004/news04-0128.html#01

　修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

■MS04-004の修正プログラム適用で生じる不具合について
　マイクロソフトのトラブル・メンテナンス速報によると、IE 6 SP1にMS04-004の修正プログラムを適用すると、IEに記憶させておいたベーシック認証のユーザー名とパスワードが、認証のダイアログ・ボックスに表示されなくなるという不具合が生じる、とのことです（Cookieで記録している場合は影響を受けません）。

・トラブル・メンテナンス速報：
http://support.microsoft.com/default.aspx?scid=/isapi/gomscom.asp?
target=/japan/support/sokuho/

　DA LabでUpdateEXPERTが管理対象とするすべての適用対象プラットフォームを調べたところ、IE 6 SP1以外でも、Windows 2000 SP2＋IE 5.01 SP2においてこの不具合が発生することを確認しました（ただし修正プログラムの適用など、条件次第で現象が発生する可能性は否定できません）。また、Windows 2000 SP3＋IE 5.5 SP2においては、不具合は発生しないようです。

　ただしMS04-004の適用後でも、ユーザー・アカウントとパスワードの情報自体はシステムに保存されており、表示ができなくなっているだけのようです。実際、トラブル・メンテナンス速報（2月3日時点）では以下のような回避策を紹介しています。

すべてのIEをいったん閉じます。

1. 再びIEを起動します。この際、開くページは何でもかまいません。
2. 別にIEを起動します。
3. 2番目に起動したIEで、ベーシック認証が施されたページに接続します。
4. IEに記憶させていたユーザー名とパスワードが入力された状態のダイアログ・ボックスが表示されます。

　DA Labにおいても、この方法でユーザー名とパスワードが取り出せることを確認しました。また、MS04-004の修正プログラム適用後に、新たに記憶させたユーザー名とパスワードはこの不具合の影響を受けません。

■MS03-048の修正プログラム適用で生じる不具合の解消について
　MS03-048の修正プログラムは、適用後にいくつかの不具合が発生することが明らかになっています。それらの不具合がMS04-004で解消されているのか確認してみました。

・MS03-048を適用するとショートカット・メニューの動作が不正になる不具合 － ○
　これはIE 6 SP1において、スクロール・バー上で右クリックした際に表示されるショートカット・メニューが、メニュー内の項目を選択しても表示されたままになるというものです。さらに、その表示されたままの状態となったショートカット・メニュー内の項目を選択すると、IEのボディ部分を右クリックした際に表示されるショートカット・メニューが表示されます。

　この不具合はMS04-004の修正プログラムで解消されていることを確認しました。

・MS03-048を適用するとIEの画面スクロールが正しく行われなくなる不具合 － ○
　これはIEのスクロール・バーの空白部分をクリックすると、本来は1ページ分のスクロールが行われるはずが2ページ分スクロールする、画面の一部を選択してスクロールすると選択範囲が解除される、というものです。

　この不具合はMS04-004の修正プログラムで解消されていることを確認しました。

・Windows 2000にMS03-048を適用するとエクスプローラの「関連項目」のリンクが機能しなくなる不具合 － ×
　Windows 2000において、エクスプローラの［フォルダ オプション］で［Webの表示］を［フォルダでWebコンテンツを使う］にしていた場合、エクスプローラやマイ コンピュータの左側に［関連項目］のリンク（［デスクトップ］［マイ ドキュメント］［マイ コンピュータ］など）が表示されます。MS03-048の修正プログラムを適用すると、このリンクが機能しなくなりました（クリックしてもリンク先へのジャンプしません）。

　残念ながらMS04-004の修正プログラムを適用しても、この不具合は解消されません。

■IE 5.5 SP2はWindows Meのみ対応
　IE 5.5 SP2は、2003年12月31日で延長サポート期間が終了しました。そのため「TechNetセキュリティ情報：MS04-004」によれば、Windows Meを除くプラットフォームは修正プログラムの対象外となっています。Windows Meについては、2004年1月15日に発表されたWindows 98／98SE／Meの延長サポート期間が2006年6月30日まで再延長されたのにともない、IE 5.5 SP2のサポートが継続されているものと思われます（IE 5.5がWindows Meの標準コンポーネントであるため）。また同様にWindows 98／98 SEはIE 6 SP1もサポート対象外となっています。延長サポート期間が2006年6月30日まで再延長されたものの、Windows 98／98 SEについては、サポート対象となるIEがなくなったことになります。なおWindows NT 4.0 SP6a／2000 SP2／2000 SP3については、まずIE 6 SP1へアップデートした後、MS04-004の修正プログラムを適用することが推奨されています。

　ところが、Windows Updateサイトでは、Windows 2000 SP2／SP3／SP4＋IE 5.5 SP2に対して、IE 5.5 SP2向けのMS04-004の修正プログラムが適用可能となっています。実際にDA LabでWindows 2000 SP2／SP3／SP4に対して、Windows UpdateからMS04-004の修正プログラムを問題なく適用できました。サポートと対象となるのかあいまいなWindows NT 4.0 SP6a／2000 SP2／2000 SP3＋IE 5.5 SP2については、十分な検証を行った上で適用をご検討ください。

■MS04-004の修正プログラムで解消される不具合について
　MS04-004の修正プログラムに含まれるファイルのバージョンとレジストリの更新状況を調べたところ、以下のサポート技術情報で報告されている不具合を解消も含まれていることが分かりました。MS04-004の適用後は、これらの不具合に対する修正プログラムの適用やレジストリの設定は不要です。

・サポート技術情報 818506（多数のオブジェクトを要求すると、Internet Explorerの応答が停止する）：
http://support.microsoft.com/default.aspx?scid=kb;ja;818506

・サポート技術情報 818060（接続でローカル エリア ネットワークの自動設定やプロキシ設定 が使用されない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;818060

・サポート技術情報 810635（リモート アクセス接続が複数あるとWindows Media Playerがストリーム メディアを再生できない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;810635

・サポート技術情報 331906（Internet Explorer 6からプロキシ経由でインターネットへの通信に失敗する）：
http://support.microsoft.com/default.aspx?scid=kb;ja;331906

■killbitの設定について
　MS04-004は、MS03-040／MS03-048と同様、killbit（HTMLレンダリング・エンジンにより、ActiveXコントロールが読み込まれないようにするInternet Explorerのセキュリティ機能）を設定します。設定されるkillbitについては、「HotFix Alert：MS03-048（クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正）」を参照してください。

・HotFix Alert MS03-048（クロスドメイン・セキュリティ・モデルの脆弱性により任意のコードが実行できる可能性などを含む、Internet Explorer用の累積的な修正）：
http://www.hotfix.jp/archives/alert/2003/ms03-048.html

　Internet Explorerを起動し、［ヘルプ］－［バージョン情報］をクリック します。表示されたダイアログ・ボックスの［更新バージョン］フィールドに Q832894が表示されていることを確認して下さい。

　または以下のレジストリ・キーを確認してください。

・Windows Server 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB832894キーの「Installed」という値がDWORD値「1」であること

・そのほかのバージョン：
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{eddbec60-89cb-44ef-8291-0850fd28ff6a} キーの「IsInstalled」という値がDWORD値「1」であること

　手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで［日本語］を選択してください。

・Internet Explorer 5.01 SP2：
http://www.microsoft.com/downloads/details.aspx?FamilyId=17904608-DCEE-4C99-A780-81D6DBC48DD5&displaylang=ja

・Internet Explorer 5.01 SP3：
http://www.microsoft.com/downloads/details.aspx?FamilyId=202D3AAC-6B56-4F4A-8C0F-4183C77B6B51&displaylang=ja

・Internet Explorer 5.01 SP4：
http://www.microsoft.com/downloads/details.aspx?FamilyId=F5E74139-6E0E-49FD-9AA2-36D2D8454A92&displaylang=ja

・Internet Explorer 5.5 SP2：
http://www.microsoft.com/downloads/details.aspx?FamilyId=EFFE87F6-7ACA-4A54-B767-5597DDE95C6F&displaylang=ja

・ Internet Explorer 6：
http://www.microsoft.com/downloads/details.aspx?FamilyId=BE0C18BC-7F9A-4196-BFDE-29EBA8CF7A50&displaylang=ja

・Internet Explorer 6 SP1：
http://www.microsoft.com/downloads/details.aspx?FamilyId=70530968-B59A-47C0-90D3-0C884910BC97&displaylang=ja

・ Internet Explorer 6 for Windows Server 2003：
http://www.microsoft.com/downloads/details.aspx?FamilyId=D78AE4F7-8852-4A04-B8F6-1DE327E598F0&displaylang=ja

　また、MS04-004の全修正プログラムはWindows Updateからも適用可能です。

　何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・インターネット／イントラネット・ゾーンでActiveXコントロールを実行する前にダイアログを表示する設定に変更する
　IEの［インターネット オプション］－［セキュリティ］の設定を変更し、ActiveXコントロールが実行される前にダイアログが表示されるようにします。これにより、ユーザーの意図しないActiveXコントロールがインストールされることを防ぎ、攻撃を回避することができます。設定方法は以下の手順に従ってください。

1. IEの［ツール］－［インターネット オプション］メニューを選択します。
2. ［セキュリティ］タブを選択します。
3. ［インターネット］ゾーンのアイコンをクリックし、［レベルのカスタマイズ］ボタンをクリックします。
4. 設定］の下から［ActiveX コントロールとプラグイン］を見つけ、［ActiveX コントロールとプラグインの実行］を［ダイアログを表示する］に変更します。同様に、［スクリプト］の［アクティブ スクリプト］も［ダイアログを表示する］に変更します。
5. ［イントラネット］ゾーンに対しても、同じ設定を行います。

　ただしこの設定変更によって、アクセスするWebサイトによっては頻繁にダイアログによる確認表示が行われるようになります。

　［展開ビュー］－［IE］タブに「名前： Q832894.exe」で登録