2006/03/29日付けHotFix Weeklyで既報の「DHTMLメソッド・コールのメモリの破損の脆弱性（createTextRange()処理の脆弱性）」を含むInternet Explorer（IE）に対する10種類の脆弱性が公表された。「DHTMLメソッド・コールのメモリの破損の脆弱性」は、すでに攻撃が確認されており、危険性が警告されている。この脆弱性が悪用された場合、細工されたWebページにアクセスするだけで、ユーザーの追加操作なしに、リモートで任意のコードが実行される危険性がある。

・HotFix Weekly 2006/03/29日付け（Internet ExplorerのcreateTextRange()処理の脆弱性により、任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2006/news06-0329.html#01

　この累積修正プログラムには、セキュリティ修正に加え、2006/04/05日付けのHotFix Weeklyで既報のActiveXコントロールの挙動を変更する修正も含まれている。このため、この修正を適用すると、ActiveXコントロールを使用するWebアプリケーションの挙動が変わる可能性がある。特に、ActiveXコントロールを内部で使用した業務Webアプリケーションを利用している場合には注意が必要だ。詳細は後述の「DA Lab：HotFixテスティング・チームからのコメント」を参照されたい。

　またMS05-037／038／052／054の修正プログラム（攻撃対象となるCOMオブジェクトのkillbitを設定し、IEからアクセス不可能とする修正プログラム）で解消できなかった、IEにおけるCOMオブジェクトのインスタンス化処理の脆弱性も解消している。COMオブジェクトのインスタンス化処理の脆弱性は、すでに実証コードが広く公開されており、悪用された事例も報告されている。今回、新たに危険性の高いCOMオブジェクトが明らかになったことで、この脆弱性の悪用が広がる可能性が懸念される。

　ほかにもすでに実証コードが公開されている脆弱性が含まれている。前述のようにすでに攻撃も確認されており、危険性が高くなっている。至急、修正プログラムを適用した方がよい。

　MS06-013の修正プログラムは、以下の10種類の脆弱性を解消する。

■DHTMLメソッド・コールのメモリの破損の脆弱性（深刻度：緊急　CVE：CAN-2006-1359）
　DHTMLメソッド・コールのメモリの破損の脆弱性は、createTextRange()処理の脆弱性で知られるものだ。createTextRange()メソッドは、Dynamic HTML（DHTML）の機能の1つで、TextRangeオブジェクトを作成するために利用される。これにより、オブジェクト内のテキストを調べたり変更したりすることができるようになる。この機能に脆弱性が存在し、細工されたWebページを開くと、IEが異常終了したり、任意のコードが実行されたりする危険性がある。

　すでに実証コードが公開されており、この脆弱性を悪用した攻撃も確認されている。

■マルチプル・イベント・ハンドラのメモリの破損の脆弱性（深刻度：緊急　CVE：CAN-2006-1245）
　IEのスクリプト・アクション・ハンドラにバッファ・オーバーフローの脆弱性が存在する（2006/03/22日付けのHotFix Weeklyで既報）。1つのHTMLタグ内に数千のonLoadやonMouseMove、onhelp、onclick、onmouseupといったスクリプト・アクション・ハンドラを設定すると、バッファ・オーバーフローが起き、IEが異常終了する。

　攻撃は、細工したWebページに誘導するか、HTML形式のメールを送信し、ユーザーにそれを開かせることで実行される。WebページまたはHTML形式のメールを開くと、スクリプトが実行されて、IEまたはIEのコンポーネントを利用したメール・クライアントが異常終了する。

　この脆弱性は、大量のアクション・ハンドラを設定するだけなので、容易に攻撃に悪用できる。興味本位な脆弱性の悪用が行われることが懸念される脆弱性だ。

・HotFix Weekly 2006/03/22日付け（Internet Explorerのスクリプト・アクション・ハンドラの脆弱性により、サービス拒否が起きる危険性）：
http://www.hotfix.jp/archives/alert/2006/news06-0322.html#01

■HTAの実行の脆弱性（深刻度：緊急　CVE：CAN-2006-1388）
　HTA（HTML Application）の処理にバッファ・オーバーフローの脆弱性があり、メモリが破壊されたり、任意のコードが実行されたりする。HTAアプリケーションのハンドリングに際して、明記されていないエラーを引き起こすことで、セキュリティ警告のダイアログを表示させずに実行させることが可能になる。

　攻撃は、細工したWebページをユーザーに開くように誘導することで実行される。ユーザーがWebページを開くと、セキュリティ警告が表示されずに、HTAアプリケーションが実行されてしまう。これによって、コンピュータの制御が完全に奪われる危険性がある。

　脆弱性を発見したJeffrey van der Stad氏は、実証コードを数カ月以内に公開するとしている。この脆弱性を悪用した攻撃の危険性が高まる可能性がある。

■HTML解析の脆弱性（深刻度：緊急　CVE：CAN-2006-1185）
　無効なHTMLを処理する際に、システム・メモリが破損する脆弱性が存在する。これにより、任意のコードが実行される危険性がある。攻撃は、細工したWebページをユーザーに開くように誘導することで実行される。ユーザーがWebページを開くと、システム・メモリが破壊され、任意のコードが実行される。

　なおこの脆弱性は、IE 5.01 SP4、Windows Server 2003 SP1＋IE 6、Windows XP SP2＋IE 6 SP2のみが対象である。

■COMオブジェクトのインスタンス化のメモリ破損の脆弱性（深刻度：緊急　CVE：CAN-2005-1186）
　この脆弱性は、本来はIEを介してアクセスされるように設計されていない非ActiveXコントロール（COMオブジェクトなど）のインスタンスが、IE経由で作成できてしまうことに起因する。この脆弱性の悪用を防止する対策の1つとして、2005年7月の月例修正として公開されたMS05-037では、当時すでに実証コードが公開されていたJViewプロファイラ（javaprxy.dll）のみkillbitを設定して無効化する対策が行われていた。その後、MS05-038／052／054の修正プログラムにおいても、複数のCOMオブジェクトに対してkillbitが設定されている。さらに今回のMS06-013でも、同様に危険性の高いCOM オブジェクトなどに対してkillbitが設定され、その悪用を防いでいる。

・HotFix Alert MS05-054（Internet ExplorerのDocument Object Modelオブジェクトを処理する方法などの脆弱性により、リモートで任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2005/ms05-054.html

■HTMLタグのメモリの破損の脆弱性（深刻度：緊急　CVE：CAN-2006-1188）
　HTML要素を処理する方法に脆弱性が存在し、細工されたタグによってシステム・メモリが破損し、その結果、任意のコードが実行される危険性がある。攻撃は、細工したWebページをユーザーに開くように誘導することで実行される。

　マイクロソフトによれば、この脆弱性に対する実証コードが公開されているということだ。今後、攻撃に悪用されることが懸念される。なおこの脆弱性は、IE 5.01 SP4を除く、すべてのIEが対象である。

■2バイト文字の解析のメモリ破損の脆弱性（深刻度：緊急　CVE：CAN-2006-1189）
　URLに含まれる2bytes文字の処理にメモリ破損の脆弱性が存在し、任意のコードが実行される危険性がある。攻撃は、Webページをユーザーに開くように誘導することで実行される。

　マイクロソフトによれば、この脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。なおこの脆弱性は、IE 6 SP1、Windows Server 2003 SP未適用＋IE 6、Windows XP SP2＋IE 6 SP2のみが対象である。

■スクリプトの実行の脆弱性（深刻度：緊急　CVE：CAN-2006-1190）
　IEが、埋め込みオブジェクトを動的に作成する際に、間違ったIOleClientSite情報を戻す脆弱性が存在する（OleClientSiteは、埋め込みオブジェクトが位置や表示サイトの範囲、モニカなどの情報を取得するために利用するもの）。戻されたIOleClientSite情報を使用して、間違ったWebサイトやセキュリティゾーンのコンテキストでオブジェクトが実行される危険性がある。

　マイクロソフトによれば、この脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。なおこの脆弱性は、IE 5.01 SP4を除く、すべてのIEが対象である。

■クロス・ドメインの情報の漏えいの脆弱性（深刻度：重要　CVE：CAN-2006-1192）
　この脆弱性は、別のWebサイトへのナビゲーションが実行されたにもかかわらず、ブラウザ・ウィンドウでスクリプトが実行されることに起因する。この脆弱性が悪用されると、Cookieやそのほかのデータが読み取られる危険性がある。

　マイクロソフトによれば、この脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。なおこの脆弱性は、Windows Server 2003 SP1＋IE 6、Windows XP SP2＋IE 6のみが対象である。

■アドレス・バーの偽装の脆弱性（深刻度：警告　CVE：CAN-2006-1192）
　ブラウザ・ウィンドウの内容とは異なるURLがアドレス・バーに表示される脆弱性が存在する。この脆弱性は、フィッシングなどに悪用される危険性の高いものだ。マイクロソフトによれば、この脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MS06-013の修正プログラムを適用するとActiveXコントロールの挙動に変更が生じる
　Windows XP SP2とWindows Server 2003 SP1では、MS06-013の修正プログラムを適用すると、Flash PlayerなどのActiveXコントロールを呼び出す際の処理が変更される（2006/04/05日付け配信のHotFix Weeklyで既報）。ActiveXコントロールが呼び出されると、それを表示する際に従来は不要だったクリックを求めるメッセージが表示される（クリックしないとFlashなどが表示されない）。この変更によって、ActiveXコントロールを利用するWebアプリケーションなどの挙動が変わる可能性がある。なおWindows 2000、Windows XP SP1／SP1a、Windows Server 2003 SP未適用は、MS06-016の修正プログラムを適用しても、ActiveXコントロールの挙動は変更されない。

・HotFix Weekly 2006/04/05日付け（次のInternet Explorer向け修正プログラムを適用すると、ActiveXコントロールを利用するWebアプリケーションの挙動が変わる可能性がある）：
http://www.hotfix.jp/archives/alert/2006/news06-0405.html#02

　後述の「Internet Explorer 用互換性修正プログラム」を適用することで、挙動を従来どおりに戻すことが可能だ。しかしマイクロソフトによれば、6月に予定している次のIEの累積的な修正プログラムを適用すると、この互換性修正プログラムの効果はなくなり、ActiveXコントロールの表示にクリックが必要になる、としている。ホームページにFlashやSun Javaなどを利用している場合は、呼び出し方法を変更するなどの対策を、至急実施した方がよいだろう。対策方法については以下のページを参照していただきたい。

・MSDN Internet Explorerデベロッパー・センター（Internet Explorer の変更に関する開発者向け情報）
http://www.microsoft.com/japan/msdn/ieupdate/

■ActiveXコントロールの挙動の変更を元に戻す修正プログラムを提供
　Windows XP SP2とWindows Server 2003 SP1にMS06-013の修正プログラムを適用すると、ActiveXコントロールを呼び出す際の処理が変更される。この変更を元に戻し、従来どおりクリックなしでActiveXコントロールによる表示が行なわれるようにする「Internet Explorer用互換性修正プログラム」が提供されている。Windows XP SP2とWindows Server 2003 SP1は、MS06-013を適用後、この修正プログラムを適用すれば、従来どおりの挙動でActiveXコントロールを利用可能になる。

　ただしこの修正プログラムは、自動更新やMicrosoft Updateでは提供されない。ダウンロード・センターの以下のURLから入手して適用する必要がある。

・ダウンロード・センター（Internet Explorer 用互換性修正プログラム）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=b7d9801b-4fb5-492e-903e-3400abf1d731&DisplayLang=ja（Windows XP SP2）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=16c36301-6110-4945-a02e-88a59745cf4f&DisplayLang=ja（Windows Server 2003 SP1）

　また、この互換性修正プログラムを適用するには、MS06-013の修正プログラムを事前に適用しておく必要がある（MS06-013が適用されていない環境に互換性修正を適用するとエラーが発生する）。

　この互換性修正プログラムを適用後、Webアプリケーションのテストなどに際してActiveXコントロールを呼び出す際にクリックを要求するように戻すには、以下のレジストリ・キーにおいて値「iexplore.exe（DWORD値）」にデータ「1」を設定してIEを起動しなおせばよい（IE以外のアプリケーションでActiveXコントロールの挙動をテストする場合は、値名としてそのアプリケーションのプロセス名を指定する）。これで互換性修正プログラムを適用した状態でも、MS06-013によって変更された挙動の確認ができる。

■複数のCOMオブジェクトに対するkillbitを設定
　MS06-013の修正プログラムは、MS05-038／052／054の修正プログラムで解消されなかった以下の3個（CLSIDは6個）のCOMオブジェクトに対してkillbit（ActiveXコントロールが、IEのHTMLレンダリング・エンジンによって、読み込まれないようにするセキュリティ機能）を設定する。これにより、本来はIEを介してアクセスされることが設計上想定されていない非ActiveXコントロール（COMオブジェクトなど）がインスタンス化されて、悪用されるのを防ぐことが可能になる。

　また、Danim.dllとDxtmsft.dllに含まれる以下の2つのActiveXコントロールに対してもkillbitを設定し、IEから実行されることを禁止した。

■完全には解消されていないアドレス・バーの偽装の脆弱性
　Flashフォーマット・ファイル（swfファイル）をロードする前後で異なるURLのWebページを開かせることで、ブラウザの表示に競合状態を発生させ、アドレス・バーを偽装できる脆弱性がすでに報告されている。この脆弱性は、2006/04/12日付けのHotFix Weeklyでも報告済みである。しかし、MS06-013の修正プログラムでは解消されていないようだ。DA Labでは、MS06-013の修正プログラムを適用したWindows 2000 SP4＋IE 6 SP1、Windows XP SP1a＋IE 6 SP1、Windows XP SP2＋IE 6 SP2でSecuniaの実証コードを実行したところ、すべての環境でアドレス・バーが偽装されることを確認した。この脆弱性については、引き続き警戒が必要だ。

・HotFix Weekly 2006/04/12日付け（Internet Explorerに新たなURL詐称の脆弱性）：
http://www.hotfix.jp/archives/alert/2006/news06-0329.html#01

■DHTMLメソッド・コールのメモリの破損の脆弱性が解消されていることを確認
　MS06-013の修正プログラムを適用したWindows XP SP2において、公開されているDHTMLメソッド・コールのメモリの破損の脆弱性（createTextRange()処理の脆弱性）の実証コードを実行したところ、Calc.exeが実行されないことを確認した（脆弱性が存在する場合は、Calc.exeが実行される）。このことから、MS06-013によって、createTextRange()処理の脆弱性が解消されたことが確認できた。

・HotFix Weekly 2006/03/29日付け（Internet ExplorerのcreateTextRange()処理の脆弱性により、任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2006/news06-0329.html#01

■MS06-013の修正プログラム適用による既知の不具合
　MS06-013の修正プログラムを適用すると、MS05-054と同様、以下の不具合が発生することが明らかになっている。適用前に確認し、業務に支障が生じないことを確認した方がよい。

• Windows Media High Definition Video DVDで再生できないチャプターが生じる。
• ActiveXコントロールがIEで正常に読み込まれないことがある。
• カスタムActiveXコントロールを含むWebページがIEで正常に読み込まれないことがある。
• IEでモニカの使用がサポートされなくなる。

■MS06-013ではロールアップ修正プログラムが自動判別で適用される
　MS06-013のIE 6 SP1向け修正プログラムでは、過去のIEの累積的な修正プログラムと同様、セキュリティ修正プログラムとロールアップ修正プログラムが統合されており、自動的にロールアップ修正プログラム相当（修正プログラム内の「RTMQFE」フォルダ側のファイル）が適用される。なお、 MS06-013においては、MS04-038より前に提供された修正プログラムは、ロールアップ修正プログラム相当でなくても含まれている。

■Windows Me＋IE 5.5 SP2に対する修正プログラムの提供は終了
　Windows MeのIE 5.5 SP2に対するサポートは、2005年12月31日で終了している。そのため、IE 5.5 SP2向けのMS06-013の修正プログラムは提供されない。Windows Me＋IE 5.5 SP2を利用している場合は、IE 6 SP1へアップグレードした後、MS06-013の修正プログラムを適用する必要がある。

■Windows 98／98SE／Me＋IE 6 SP1向け修正プログラムはWindows Updateのみで提供
　Windows 98／98SE／Meに対するMS06-013の脆弱性は「緊急」に位置付けられており、修正プログラムが提供されている。ただしWindows 98／98SE／Me＋Internet Explorer 6 SP1向け修正プログラムは、Windows Updateでのみで提供されており、ダウンロード・センターからは入手できない。企業内で展開するような場合は、Windows Updateカタログを利用して、修正プログラムを入手する必要がある。

■MBSA 2.0の結果
　MS06-013の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、IEのバージョンによって以下のいずれかが表示される。

• Internet Explorer 5.01 Service Pack 4 用の累積的なセキュリティ更新プログラム (KB912812)
• Internet Explorer 6 Service Pack 1 用の累積的なセキュリティ更新プログラム (KB912812)
• Windows Server 2003 用 Internet Explorer の累積的なセキュリティ更新プログラム (KB912812)
• Windows XP 用 Internet Explorer の累積的なセキュリティ更新プログラム (KB912812)

　参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「Internet Explorer 用の累積的なセキュリティ更新プログラム (912812)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

■Internet Explorerの累積的なセキュリティ更新プログラム

・Windows 2000 SP4＋IE 5.01 SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 5.01\SP4\KB912812-IE501SP4-20060322.172831\Filelist以下のファイル一覧を確認する

・Windows 2000 SP4、Windows XP SP1／SP1a＋IE 6 SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Internet Explorer 6\SP1\KB912812-IE6SP1-20060322.182418\Filelist以下のファイル一覧を確認する

・Windows Server 2003＋IE 6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB912812\Filelist以下のファイル一覧を確認する

・Windows XP SP2＋IE 6 SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB912812\Filelist以下のファイル一覧を確認する

■Internet Explorer互換性修正プログラム

・Windows Server 2003＋IE 6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB917425\Filelist以下のファイル一覧を確認する

・Windows XP SP2＋IE 6 SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB917425\Filelist以下のファイル一覧を確認する

■Internet Explorerの累積的なセキュリティ更新プログラム

・Windows 2000 SP4＋IE 5.01 SP4：
［展開ビュー］−［IE］タブに「名前：IE5.01sp4-KB912812-Windows2000sp4-x86-JPN.exe」で登録

・Windows 2000 SP4、Windows XP SP1／SP1a＋IE 6 SP1：
［展開ビュー］−［IE］タブに「名前：IE6.0sp1-KB912812-Windows-2000-XP-x86-JPN.exe」で登録

・Windows Server 2003＋IE 6：
［展開ビュー］−［IE］タブに「名前：WindowsServer2003-KB912812-x86-JPN.exe」で登録

・Windows XP SP2＋IE 6 SP2：
［展開ビュー］−［IE］タブに「名前：WindowsXP-KB912812-x86-JPN.exe」で登録

■Internet Explorer互換性修正プログラム

・Windows Server 2003＋IE 6：
［展開ビュー］−［IE］タブに「名前：WindowsServer2003-KB917425-x86-JPN.exe」で登録

・Windows XP SP2＋IE 6 SP2：
［展開ビュー］−［IE］タブに「名前：WindowsXP-KB917425-x86-JPN.exe」で登録