2005/11/23日付けHotFix Weeklyで既報の「不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性（Window（）関数処理の脆弱性）」を含むInternet Explorer（IE）に対する4種類の脆弱性が公表された。「不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性」は、2005/12/07日付け配信のHotFix Weeklyで既報のとおり、すでに攻撃が確認されている。この脆弱性が悪用された場合、細工されたWebページにアクセスするだけで、ユーザーの操作なしに、リモートで任意のコードが実行される危険性がある。

・HotFix Weekly 2005/11/23日付け配信（Internet ExplorerのJavaScriptにリモートでコードを実行可能にする脆弱性）：
http://www.hotfix.jp/archives/alert/2005/news05-1123.html#01

・HotFix Weekly 2005/12/07日付け配信（JavaScriptのWindows（）関数処理の脆弱性を悪用した攻撃を確認）：
http://www.hotfix.jp/archives/alert/2005/news05-1207.html#01

　またMS05-037／038／052の修正プログラム（攻撃対象となるCOMオブジェクトのkillbitを設定し、IEからアクセス不可能とする修正プログラム）で解消できなかった、IEにおけるCOMオブジェクトのインスタンス化処理の脆弱性も解消している。COMオブジェクトのインスタンス化処理の脆弱性は、すでに実証コードが広く公開されており、悪用された事例も報告されている。今回、新たに危険性の高いCOMオブジェクトが明らかになったことで、この脆弱性の悪用が広がる可能性が懸念される。

　MS05-054の修正プログラムは、前述のようにすでに攻撃が確認されている複数の脆弱性を解消するものだ。危険性が高くなっていることから、至急、修正プログラムを適用した方がよい。

　MS05-054の修正プログラムは、以下の4種類の脆弱性を解消する。

■ファイルのダウンロード・ダイアログ・ボックスの操作に関する脆弱性（深刻度：警告　CVE：CAN-2005-2829）
　ファイルのダウンロード・ダイアログの表示方法やWebページでユーザー入力を受け付ける方法に脆弱性が存在し、ユーザーが意図せずにファイルのダウンロードや実行を行ってしまう危険性がある。ソーシャル・エンジアリング（→　キーワード）攻撃に悪用される可能性が高い。

　攻撃は、ファイルのダウンロード・ダイアログを別のWebページで隠すなどした上で、ユーザーに特定の領域をダブルクリックするように誘導することなどで実行される。ダブルクリックを行うと、ファイルのダウンロードと実行が行われ、その結果、ユーザーのコンピュータの制御が完全に奪われる危険性がある。ただし、この脆弱性が悪用されるのは、ユーザーが細工されたWebページを訪問し、何らかの操作を行った場合のみである。信頼できないWebサイトへの訪問に気を付けることで回避することができる。

・Secunia（Microsoft Internet Explorer Keyboard Shortcut Processing Vulnerability）：
http://secunia.com/secunia_research/2005-7/advisory/

・Secunia（Internet Explorer Suppressed "Download Dialog" Vulnerability）：
http://secunia.com/secunia_research/2005-21/advisory/

■HTTPSプロキシの脆弱性（深刻度：警告　CVE：CAN-2005-2830）
　HTTPS接続によるIEからプロキシ・サーバへの送信に際して、Webアドレスがクリア・テキストで送られるため、攻撃者によってWebアドレスが読み取られる危険性がある。このためクライアント・コンピュータとプロキシ・サーバ（HTTPSを処理し、基本認証を必要とする）間のネットワーク・トラフィックを解析することで、接続先にWebアドレスなどの情報が漏えいしてしまう。

　この脆弱性が悪用されるのは、接続先のプロキシ・サーバがHTTPSでの通信時に基本認証を要求する場合のみである。プロキシ・サーバを利用していない場合、および基本認証を要求しないプロキシ・サーバの場合はこの脆弱性の影響は受けない。また情報を窃取するには、クライアント・コンピュータとプロキシ・サーバ間のネットワーク・トラフィックをモニタリングする必要がある。そのため、攻撃に悪用される危険性はそれほど高くないものと思われる。

■COMオブジェクトのインスタンス化のメモリ破損の脆弱性（深刻度：緊急　CVE：CAN-2005-2831）
　この脆弱性は、本来はIEを介してアクセスされるように設計されていない非ActiveXコントロール（COMオブジェクトなど）のインスタンスが、IE経由で作成できてしまうことに起因する。この脆弱性の悪用を防止する対策の1つとして、7月の月例修正として公開されたMS05-037では、当時すでに実証コードが公開されていたJViewプロファイラ（javaprxy.dll）のみの対策が行われていた。その後、MS05-038／052の修正プログラムにおいても、複数のCOMオブジェクトに対してkillbitが設定されている。さらに今回のMS05-054でも、同様に危険性の高いCOMオブジェクトなどに対してkillbitが設定され、その悪用を防いでいる。

　このようにMS05-054の修正プログラムでは、COMオブジェクトのインスタンス化処理自体を修正しているわけではないので、新たに脆弱性を引き起こす可能性のあるCOMオブジェクトなどが発見される可能性もある。MS05-054の修正プログラム適用後も、この脆弱性に対しては引き続き警戒が必要だろう。

・HotFix Alert MS05-037（JViewプロファイラ（Javaprxy.dll）の脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-037.html

・HotFix Alert MS05-038（Internet ExplorerのJPEGイメージ処理の脆弱性などにより、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-038.html

・HotFix Alert MS05-052（Internet ExplorerがCOMオブジェクトをインスタンス化する方法に脆弱性があり、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-052.html

■不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性（深刻度：緊急　CVE：CAN-2005-1790）
　IEが不適切なDocument Object Modelオブジェクトを処理する際にコンピュータのメモリが破損できる脆弱性が存在し、任意のコードが実行される危険性がある。一例としては、IEがJavaScriptのonLoadイベントでWindow（）関数を処理する際に脆弱性が生じる可能性がある。この脆弱性を悪用すると、細工されたWebページを開くだけで任意のコードが実行されてしまうので危険性が高い。アドウェア／スパイウェアやトロイの木馬のインストールに悪用されることが懸念される。すでに攻撃例も報告されていることから、至急、修正プログラムを適用した方がよい。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■「不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性」の解消は不十分？
　「不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性」については、前述のようにすでに実証コードが公開されており、攻撃例も報告されている。DA Labでは、2005/11/23日付け配信のHotFix Weeklyにおいて、脆弱性を公開したComputer Terrorismのレポートにリンクされている実証コード（脆弱性を突いて、ローカルでCalc.exeを実行するというもの）を実行し、Windows 2000＋IE 6 SP1でCalc.exeが実行されたことを確認している（Windows 2000＋IE 5.5 SP2、Windows XP SP1a＋IE 6 SP1、Windows XP SP2では、IEが途中でハングアップしてCalc.exeは実行されなかった）。

　MS05-054の修正プログラムを適用し、再び実証コードを実行した結果、Windows 2000＋IE 6 SP1を含む前述の「適用テストの結果」の全テスト対象コンピュータにおいてもCalc.exeが実行されなかったことを確認した。ただし、このうちWindows XPでは、修正プログラム適用後もIEが途中でハングアップしてしまった（Windows Server 2003は実証コードのあるサイトを信頼済みに設定するとハングアップした）。MS05-054の修正プログラムを適用しても、Windows XPではサービス拒否攻撃（DoS攻撃）が可能であることが分かった。脆弱性が完全に解消できていない可能性も否定できないので、引き続き注意が必要だ。

・HotFix Weekly 2005/11/23日付け配信（Internet ExplorerのJavaScriptにリモートでコードを実行可能にする脆弱性）：
http://www.hotfix.jp/archives/alert/2005/news05-1123.html#01

■複数のCOMオブジェクトに対するkillbitを設定
　MS05-054の修正プログラムは、MS05-038／052の修正プログラムで解消されなかった以下の11個（CLSIDは29個）のCOMオブジェクトに対してkillbit（ActiveXコントロールが、IEのHTMLレンダリング・エンジンによって、読み込まれないようにするセキュリティ機能）を設定する。これにより、本来はIEを介してアクセスされることが設計上想定されていない非ActiveXコントロール（COMオブジェクトなど）がインスタンス化されて、悪用されるのを防ぐことが可能になる。

　また、SONY BMGのコピー防止機能付き音楽CDで採用されていた「First4Internet XCP」機能をアンインストールするためのActiveXコントロールに対する以下のCLSIDに対してもkillbitが設定される。これは、アンイントールを行うActiveXコントロールにセキュリティ上の脆弱性が存在し、このActiveXコントロールを悪用した攻撃が可能になるためだ。

■MS05-054ではロールアップ修正プログラムが自動判別で適用される
　MS05-054のIE 6 SP1向け修正プログラムでは、MS05-038／MS05-052と同様、セキュリティ修正プログラムとロールアップ修正プログラムが統合されており、以下の条件のうち1つでも満たす場合は自動的にロールアップ修正プログラム相当（修正プログラム内の「RTMQFE」フォルダ側のファイル）が適用される。なお、 MS05-054においては、MS04-038より前に提供された修正プログラムは、ロールアップ修正プログラム相当でなくても含まれている。

• 「サポート技術情報：873377」で提供されたロールアップ修正プログラムを適用したことがある
• 「サポート技術情報：889669」で提供されたロールアップ修正プログラムを適用したことがある
• 2004年10月以降に、マイクロソフトのサポート窓口からIE向けの不具合修正プログラムを入手し、適用したことがある

・サポート技術情報 905915（MS05-054: Internet Explorer の累積セキュリティ更新プログラム）：
http://support.microsoft.com/default.aspx?scid=kb;ja;905915［機械翻訳］

　これらの条件に合致しない場合は、セキュリティ修正プログラム（修正プログラム内の「rtmgdr」フォルダ側のファイル）が適用される。

　IE 6 SP1においてこれらのいずれかの条件を満たしている場合、以下のレジストリ・キーの値「QFEInstalled」にデータが「1」が設定されているはずだ。

　MS05-054のIE 6 SP1向け修正プログラムは、このデータが「1」であればロールアップ修正プログラム相当を適用する。そのため上記の条件を満たしている場合でも、何らかの理由により前述のレジストリのデータが「1」以外の場合は、セキュリティ修正プログラムが適用されるので注意したい。

■IE 5.5 SP2向け修正プログラムの対象はWindows Meのみ
　IE 5.5 SP2向け修正プログラムの対象は、Windows Meのみに限定される。これは、Windows Me以外の環境に対するIE 5.5 SP2のサポートが終了したことに伴うものだ。Windows 2000などのWindows Me以外のOSでIE 5.5 SP2を利用している場合は、Windows UpdateにMS05-054の修正プログラムが表示されないので注意が必要だ。これらの環境では、IE 5.5 SP2からIE 6 SP1へバージョンアップを行った後に、MS05-054の修正プログラムを再適用する必要がある。なおWindows Me＋IE 5.5 SP2向けの修正プログラムは、Windows Updateでのみ提供されている。

■Windows 98／98SE／Me＋IE 6 SP1向け修正プログラムはWindows Updateのみで提供
　Windows 98／98SE／Meに対するMS05-052の脆弱性は「緊急」に位置付けられており、修正プログラムが提供されている。ただしWindows 98／98SE／Me＋Internet Explorer 6 SP1向け修正プログラムは、Windows Updateでのみで提供されており、ダウンロード・センターからは入手できない。企業内で展開するような場合は、Windows Updateカタログを利用して、修正プログラムを入手する必要がある。

■MS05-054の修正プログラム適用による既知の不具合
　Windows XP SP2にMS05-054の修正プログラムを適用すると、以下の不具合が発生することが明らかになっている。適用前に確認し、業務に支障が生じないことを確認した方がよい。

・Windows Media High Definition Video DVDで再生できないチャプターが生じる
　MS04-038／MS05-014／MS05-020／MS05-025／MS05-038／MS05-052の修正プログラムと同様、Windows Media High Definition Video DVDで再生できないチャプターが生じるという不具合が発生する。再生したいチャプターをクリックしたのち、Enterキーを押すことで回避可能だとしている。

・サポート技術情報 884487（Windows XP Service Pack 2 で、チャプタをクリックしても再生されない WMV HD DVD ディスクがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;884487

・ActiveXコントロールがIEで正常に読み込まれないことがある
　MS05-052の修正プログラムで導入された多層防御の変更がMS05-054でも有効になっているため、ActiveXコントロールを含むWebページが正常に読み込まれなくなる。この不具合は、レジストリ・キーにサブキーを追加することで解消できる。解消方法は、2005/11／09日付け配信のHotFix Weeklyまたは以下のサポート技術情報を参照していただきたい。

・HotFix Weekly 2005/11/09日付け配信（MS05-052の修正プログラム適用でActiveXコントロールが読み込めなくなる不具合）：
http://www.hotfix.jp/archives/alert/2005/news05-1109.html#01

・サポート技術情報 909889（累積的なセキュリティ更新プログラム 896688 (MS05-052) で導入された多層防御の変更が原因で、ActiveX コントロールが Internet Explorer に正常に読み込まれないことがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;909889

・カスタムActiveXコントロールを含むWebページがIEで正常に読み込まれないことがある
　MS05-052の修正プログラムで導入された多層防御の変更がMS05-054でも有効になっているため、カスタムActiveXコントロールを含むインターネット・ゾーンに存在するWebページが正常に読み込まれなくなる。この不具合は、カスタムActiveXをリコンパイルする、レジストリ・キーにカスタムActiveXのCLSIDをサブキーとして追加してCompatibility Flags（DWORD値）に00800000をデータとして設定するなどの方法で解消可能だ。解消方法は、2005/11／09日付け配信のHotFix Weeklyまたは以下のサポート技術情報を参照していただきたい。

・サポート技術情報 909738（累積的なセキュリティ更新プログラム 896688 (MS05-052) で導入された多層防御の変更が原因で、カスタム ActiveX コントロールを含む Web ページが Internet Explorer に正常に読み込まれないことがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;909738

・IEでモニカの使用がサポートされなくなる
　MS05-038／052の修正プログラムによる仕様変更が、MS05-054でも有効になっており、IEでモニカ(Moniker：カスタム版のCOMオブジェクトのこと)がサポートされなくなっている。この仕様変更により、Webページにモニカが含まれていると、Webページが正常に機能しなくなる。この不具合は、MS05-054の修正プログラム適用後にレジストリ・キーを編集することで解消可能だ。解消方法は、2005/11／09日付け配信のHotFix Weeklyまたは以下のサポート技術情報の「詳細」を参照していただきたい。

・サポート技術情報 906294（累積的なセキュリティ更新プログラム 896727 (MS05-038) によって提供されるセキュリティ更新プログラムをインストール後、Internet Explorer でモニカの使用がサポートされない）：
http://support.microsoft.com/default.aspx?scid=kb;ja;906294

■Windows XP SP2とWindows Server 2003 SP1では［プログラムの追加と削除］で表示形式が日付順になる修正ツールが実行される
　Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの［プログラムの追加と削除］で日付順に並ばないという不具合がある。これは、 update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

　MS05-054の修正プログラムをWindows XP SP2とWindows Server 2003 SP1に対して適用すると、この不具合を解消する「arpidfix.exe」が実行され、［プログラムの追加と削除］の表示形式で日付順に並ぶように「Installed On」属性を付加される。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630（Arpidfix.exe ツールについて）：
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■MBSA 2.0の結果
　MS05-054の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、IEのバージョンによって以下のいずれかが表示される。

• Internet Explorer 5.01 Service Pack 4 用の累積的なセキュリティ更新プログラム (KB905915)
• Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラム (KB905915)
• Windows Server 2003 用 Internet Explorer の累積的なセキュリティ更新プログラム (KB905915)
• Windows XP 用 Internet Explorer の累積的なセキュリティ更新プログラム (KB905915)

　参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「Internet Explorer 用の累積的なセキュリティ更新プログラム (905915)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP4＋IE 5.01 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB905915-IE501SP4-20051122.191609\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4、Windows XP SP1／SP1a＋IE 6 SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB905915-IE6SP1-20051122.175908\Filelist以下のファイル一覧を確認する

・Windows Server 2003＋IE 6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB905915\Filelist以下のファイル一覧を確認する

・Windows XP SP2＋IE 6 SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB905915\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4＋IE 5.01 SP4：
［展開ビュー］−［IE］タブに「名前：IE5.01sp4-KB905915-Windows2000sp4-x86-JPN.exe」で登録

・Windows 2000 SP4、Windows XP SP1／SP1a＋IE 6 SP1：
［展開ビュー］−［IE］タブに「名前：IE6.0sp1-KB905915-Windows-2000-XP-x86-JPN.exe」で登録

・Windows Server 2003＋IE 6：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［IE］タブに「名前：WindowsServer2003-KB905915-x86-JPN.exe」で登録

・Windows XP SP2＋IE 6 SP2：
［展開ビュー］−［IE］タブに「名前：WindowsXP-KB905915-x86-JPN.exe」で登録