| MS03-014/330994 |
| HTML形式の電子メールによって悪意のあるスクリプトが実行される可能性があるOutlook Expressの脆弱性を含む累積的な修正 |
| (Outlook Express用の累積的な修正プログラム) |
| |
|
| 対応策 |
| 修正プログラムの適用作業を至急開始してください。 |
|
| 概要 |
|
MS03-014は、Outlook Expressの脆弱性に対する修正プログラムですが、マイクロソフトは「Outlook Expressの使用の如何にかかわらず、Outlook
ExpressがインストールされたすべてのWindows環境が対象となります」と説明しています。これは、現在マイクロソフトがサポート対象としているWindowsでは、Outlook
Expressが標準機能としてインストールされており、Outlook Expressの使用有無にかかわらず、今回の脆弱性の原因となる「MHTML(→キーワード)ファイルを処理するURLハンドラ」がシステムに存在するためです。
今回の脆弱性は、Outlook ExpressがMHTML形式でエンコードされた電子メールやWebページを表示する際に利用するURLハンドラの処理に起因するものです。この脆弱性により、攻撃者はユーザーのコンピュータ上のファイルを読み取ったり、プログラムをローカル
コンピュータ ゾーンで起動したりできるようになります。ローカル コンピュータ ゾーンは、ユーザーのコンピュータ上に存在するコンテンツの実行などで使用される暗黙的なセキュリティ・ゾーンです。ローカル
コンピュータ ゾーンでは、実行されたスクリプトやプログラムがコンピュータ上のファイルへアクセスしたり、操作したりすることが許可されています。そのため、この脆弱性を悪用すると、最悪の場合、システムの破壊などが可能になります。
|
| |
| キーワード |
|
■MHTML(MIME Encapsulation of Aggregate HTML)
複数のWebページ(HTMLコンテンツ)や画像を含むWebページを単一ファイルとして保存したり、電子メールで簡単に送付したりするための標準仕様。
|
|
| DA Lab:HotFixテスティング・チームからのコメント |
|
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームで適用テストに通過しました。
マイクロソフトのTechNetセキュリティ情報では、MS03-014の問題を緩和する要素として、MS03-004の適用を推奨しています。しかし、MS03-004をInternet
Explorer 6.0 SP1に適用すると、いくつかの不具合が発生することが報告されています(マイクロソフト サポート技術情報:814895)。また、MS03-004を含む累積的な修正として、すでにMS03-015が提供されています。HotFixテスティング・チームでは、MS03-015の適用によって、MS03-004で発生したOutlook
Expressの不具合が解決されたことをテスト環境において確認しています(ただしテストは組織的なものではなく、新たな不具合の発生などについて検証したわけではありません)。DA
Labは、MS03-004を単独で適用するのではなく、MS03-015の適用を推奨します。ただしMS03-015についても、お手元の環境で不具合が発生しないかどうか、事前に動作検証が必要であることは変わりありません。
また、脆弱性の影響を受けるソフトウェアについて、マイクロソフトの「TechNetセキュリティ情報:MS03-014」では、対象ソフトウェアとしてOutlook
Express 5.5/6のみを表記しています。しかし本文中では、Outlook 98/2000/2002においても電子メールによる攻撃が実行される可能性について言及しています。脆弱性の解説から判断すると、Outlook
98/2000/2002については脆弱性の影響を受けないものと思われますが、念のためこれらのOutlookユーザーもMS03-014の適用を検討してください。なおマイクロソフトは、電子メールの送受信にOutlook
Expressを使用していない人を含む、すべてのユーザーに対して、MS03-014の適用を推奨しています。
|
|
| 追加情報(2003/10/15) |
| 受信者の暗号機能が未知の場合、Outlook Expressでメールの暗号化に3DESが使用されない |
|
マイクロソフトの「サポート技術情報:331488」により、すべてのバージョンのOutlook Expressで、受信側の暗号化機能が不明である場合、40bitのRC2という暗号強度の低い暗号方式が利用されてしまう、という問題が明らかになりました。
・マイクロソフト サポート技術情報 331488(受信者の暗号機能が未知の場合、Outlook Expressでメールの暗号化に3DESが使用されない):
http://support.microsoft.com/default.aspx?scid=kb;ja;331488
この問題を解決するIE 6.0 SP1(すなわちOutlook Express 6.0 SP1)向け修正プログラムが以下のURLからダウンロード可能となりました。この修正プログラムの適用により、システム・ファイルの「Msoe.dll」がバージョン「6.0.2800.1196」に更新されます。
・サポート技術情報 331488に対応した修正プログラムのダウンロード先:
http://www.microsoft.com/downloads/details.aspx?FamilyID=fff77cb1-ef8e-47ee-91e7-069957e21a20&DisplayLang=ja
しかしマイクロソフトは、以下のように述べています。
| 「マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを受ける場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の
Internet Explorer 6 Service Pack がリリースされるまで待つことを推奨します。」 |
文面から考えて、まだ十分なテストがなされているとはいえないようです。適用は最低限の範囲に限定しておいたほうがよいでしょう。
また、この修正プログラムで置き換わる「Msoe.dll」は、IEの累積的な修正プログラムであるMS03-014でも更新されます( MS03-040で提供されたIEの累積的な修正プログラムには含まれていません)。Outlook
Express 6.0 SP1向けのMS03-014の修正プログラムに含まれるMsoe.dllのファイル・バージョンを調査したところ「6.0.2800.1158」と、「サポート技術情報:331488」で提供されるものよりも古いバージョンでした。「サポート技術情報:331488」を適用後に、Outlook
Express 6.0 SP1向けのMS03-014の修正プログラムを適用すると、Msoe.dllのバージョン・ダウンが発生します。「サポート技術情報:331488」の修正プログラムを有効にするには、Outlook
Express 6.0 SP1向けのMS03-014の修正プログラムを適用した後に、「サポート技術情報:331488」を再度適用してください。
|
|
|
| 対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Internet Explorer 5.01 |
Windows 2000 SP3+IE 5.01 SP3 |
| Outlook Express 5.5 |
Windows 98 SE/Me/NT 4.0 SP6a/2000 SP2/2000
SP3+IE 5.5 SP2 |
| Outlook Express 6 |
Windows XP SP未適用+IE 6 |
| Outlook Express 6 SP1 |
Windows 98/Me/NT 4.0 SP6a/2000 SP2/2000 SP3/XP SP1/XP SP1a+IE
6 SP1 |
(注意)Windows 98 SE/Meは、UpdateEXPERTのサポート対象外です。 |
|
| 予想適用時間 |
| 修正プログラム番号 |
50台 |
100台 |
250台 |
500台 |
q330994.exe
(Internet Explorer 5.01/5.5) |
12分 |
21分 |
43分 |
1時間28分 |
q330994.exe
(Internet Explorer 6) |
12分 |
21分 |
46分 |
1時間28分 |
q330994.exe
(Internet Explorer 6 SP1) |
13分 |
21分 |
47分 |
1時間30分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
| UpdateEXPERT上の表示 |
|
[展開ビュー]−[IE]タブに「名前: q330994.exe」で登録
|
|
| 脆弱性の内容 |
|
Outlook Expressの一部であるMHTML URLハンドラに脆弱性が存在し、ユーザーのコンピュータに既に存在するファイルをHTMLページとして表示させることができます。このため攻撃者がユーザーのコンピュータ上に悪意のあるスクリプトを記述したテキスト
ファイルを配置できる場合は、今回のMHTML URLハンドラを悪用して、それをHTMLファイルとして開き、内部に仕掛けたスクリプトを実行させることが可能になります。
攻撃者は、Webサイト内にMHTML形式を使用するURLを作成し、そこにユーザーを誘導(電子メールでURLを送るなど)することにより、この脆弱性を悪用する可能性があります。また、電子メールでMHTML形式のファイルを送ることでも攻撃が可能です。電子メールによる攻撃の場合、ユーザーが既定の構成でOutlook
Express 6を使用している場合は、ユーザーが電子メールで送信された URLをクリックしない限り攻撃は実行されません。しかし、既定の構成を変更してOutlook
Express 6を使用している場合は、電子メールに含まれるURLをクリックしなくても、攻撃が自動的に実行されてしまう可能性があります。
|
|
| 適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Internet Explorer 5.01 SP3/5.5 SP2:
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| q330994.exe |
2003/04/24 |
5.50.4925.2200 |
853,392
|
|
| 展開ファイル |
%SystemRoot%\system32 |
| Inetcomm.dll |
2003/01/30 |
5.50.4925.2800 |
572,176
|
Microsoft インターネット メッセージ API |
| 展開ファイル |
\Program Files\Outlook
Express |
| Msoe.dll |
2002/10/16 |
5.50.4922.1500 |
1,146,640
|
Outlook Express |
・ Internet Explorer 6:
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| q330994.exe |
2003/04/24 |
6.0.2800.1168 |
870,008
|
|
| 展開ファイル |
%SystemRoot%\system32 |
| Inetcomm.dll |
2003/03/13 |
6.0.2727.1300 |
594,944
|
Microsoft インターネット メッセージ API |
| 展開ファイル |
\Program Files\Outlook
Express |
| Msoe.dll |
2003/03/13 |
6.0.2720.3000 |
1,175,040
|
Outlook Express |
・ Internet Explorer 6 SP1:
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| q813489.exe |
2003/04/24 |
6.0.2800.1168 |
1,985,664
|
|
| 展開ファイル |
%SystemRoot%\system32 |
| Inetcomm.dll |
2003/01/30 |
6.0.2800.1165 |
592,384
|
Microsoft インターネット メッセージ API |
| Inetres.dll |
2002/10/23 |
6.0.2800.1123 |
47,616
|
Microsoft Internet Messaging API Resources |
| Msident.dll |
2002/10/23 |
6.0.2800.1123 |
44,032
|
Microsoft Identity Manager |
| Msoeacct.dll |
2002/10/23 |
6.0.2800.1123 |
228,864
|
Microsoft Internet Account Manager |
| Msoert2.dll |
2002/10/23 |
6.0.2800.1123 |
91,136
|
Microsoft Outlook Express RT Lib |
| 展開ファイル |
\Program Files\Common
Files |
| Directdb.dll |
2002/10/23 |
6.0.2800.1123 |
75,776
|
Microsoft Direct Database API |
| Wab32.dll |
2002/10/23 |
6.0.2800.1123 |
462,848
|
Microsoft Address Book DLL |
| 展開ファイル |
\Program Files\Outlook
Express |
| Msimn.exe |
2002/10/23 |
6.0.2800.1123 |
56,832
|
Outlook Express |
| Msoe.dll |
2003/01/13 |
6.0.2800.1158 |
1,174,528
|
Outlook Express |
| Msoeres.dll |
2002/10/23 |
6.0.2800.1123 |
2,479,616
|
Outlook Express |
| Oeimport.dll |
2002/10/23 |
6.0.2800.1123 |
93,184
|
Outlook Express Mail Import & Export |
| Oemig50.exe |
2002/10/23 |
6.0.2800.1123 |
55,808
|
Outlook Express Migration 5.0 |
| Oemiglib.dll |
2002/10/23 |
6.0.2800.1123 |
31,744
|
Microsoft Outlook Express Migration Library |
| Wab.exe |
2002/10/23 |
6.0.2800.1123 |
42,496
|
アドレス帳 |
| Wabfind.dll |
2002/10/23 |
6.0.2800.1123 |
30,208
|
Find People |
| Wabimp.dll |
2002/10/23 |
6.0.2800.1123 |
77,824
|
Microsoft WAB Importer/Exporter |
| Wabmig.exe |
2002/10/23 |
6.0.2800.1123 |
27,648
|
Microsoft Address Book Import Tool |
|
|
| 確認方法 |
|
Internet Explorerを起動し、[ヘルプ]−[バージョン情報]をクリックします。表示されたダイアログ ボックスの[更新バージョン]フィールドにQ330994が表示されていることを確認して下さい。
|
|
| 修正プログラム |
|
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[Japanese]を選択してください。次に表示されるダウンロード ページから、Internet
Explorerのバージョンを選択してダウンロードを行ってください。
http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp
また、すべてWindows
Updateからも修正プログラムの適用が可能です。
|
| |
