CERT/CC

Advisories

Tech Tips

Incident Notes

Summaries


和訳版

最近版

全CERT勧告

Tech Tips

CERT Advisory 2001-36

  • この文書はCERT Advisory文書の和訳である。和訳については一切の 保証はしない。この文書を使った結果のあらゆる損害等について 訳者は一切責を負わない。また、転載は禁じる。
  • リンクを張るのは自由であるが、それにより発生するかもしれない 直接間接問わず一切の帰結に訳者は責任を負わない。
  • この和訳は文書の性質上、in rushであり、訳の自然さより も訳出の迅速さを目指している。内容の正確さについては訳者としての 良心から可能な限り気をつけているが、通常の翻訳であれば訳の改善を 図るために訳語等で悩む時間を極力圧縮しているため、不自然なところが 残っているかもしれない。指摘は歓迎である。なお、読者対象は文書の 性質上、ネットワーク管理者等であるため、この読者層に通じやすい 訳語選定を心がけている。
  • この和訳はあくまでも訳者の個人的な関心に基づいて行われている。 今後、飽きるまでは原則として24時間以内の翻訳を目指す(この迅速さが どこまでできるかが訳者の関心である)が、予告なく遅延、終了すること がある。
  • 本文書の和訳について、CERTから翻訳許諾は受けていない。別所で CERTと契約を行って翻訳を行っているところがある。 なお、本翻訳はその翻訳を 一切参照していない。特にその必要を感じないからでもあるが、本質的に 翻訳は訳者の解釈の塊であり、複数の独立した翻訳があることで、注意 深い読者が比較検討して、読者の判断で何が正しいのかを判断できると 考えるためである。
  • この翻訳に対して、しかるべきところから明示的に翻訳拒絶の連絡を 受けた場合を除き、本翻訳は訳者の責任において公開する。ただし、内容 についての責任は最初に書いたように負わない。
  • 訳者は大阪女子大学情報センター講師の橋本喜代太(hash@reasoning.org, hash@center.osaka-wu.ac.jp) である。ただし、本文書の訳出に当たって、大学当局は何ら関係ない。
  • 関連文書は ここにリストがある。

CERT® Advisory CA-2001-36
Microsoft Internet ExplorerはContent-Disposition並びにContent-Typeの両 MIMEヘッダを尊重していない

Original release date: December 19, 2001

Last revised: --

Source: CERT/CC

本和訳の原文は http://www.cert.org/advisories/CA-2001-36.htmlである。

本文書並びに本和訳の完全な改訂履歴は文書末尾にある。

影響を受けるシステム

  • Windows用のMicrosoft Internet Explorer 6.0
  • Microsoft Outlook, Outlook Express, その他のソフトウェアで HTMLのレンダリングに脆弱なバージョンのInternet Explorerを利用するもの

概要

Microsoft Internet Explorerには、ウェブページやHTML書式の電子メール メッセージ中のある種のMIMEヘッダの取り扱いについて脆弱性がある。この 脆弱性によって、犠牲者となるユーザがウェブページやHTML書式の 電子メールメッセージを閲覧した際に、犠牲者の使っているシステム上で 攻撃者が任意のコードを実行できる場合がある。

I. 説明

ウェブページ並びにHTML書式の電子メールメッセージは通常、HTMLテキスト であるが、他のファイルも含まれている場合がある。Content-Disposition 並びにContent-Typeという両MIMEヘッダはHTMLのレンダリングを行なう ソフトウェアがこうしたファイルの種類を特定するのに必要な情報を提供する。 Microsoft Internet Explorerでは、この両MIMEヘッダは埋め込まれたファイルを 処理するかどうか評価する際に参照されるが、そのファイルが実際に処理される ときには無視される。

例えば、実行ファイル(.exeファイル)が埋め込まれていて、MIMEヘッダには それがJPEG画像ファイル(.jpgファイル)と誤った表示がなされていると、Internet Explorerは、このファイルが開いても安全かどうかを評価する際に、JPEGファイル として扱う。いったんこの評価が完了すると([訳者注記: 当然ながら、通常、 JPEGファイルは「開いても安全である」と判断されることになる)、この ファイルは.exeファイル拡張子に応じた開かれ方をすることになり、ローカル システム上で実行されることになる。

このような動作を動作をするため、典型的には実行用コードを排除する セキュリティチェックを攻撃者がバイパスできるという脆弱性があることになる。 このコードは、ウェブページないし電子メールメッセージを閲覧するユーザふ 付与された権限レベルで実行されることになるであろう。

悪意あるウェブサイトやHTML書式の電子メールメッセージを閲覧する ユーザは、ダウンロード中に表示されるダイアログボックスで「キャンセル」 を選択することで攻撃者のコードが実行されるのを防ぐことができるかも しれない。しかし、埋め込まれたファイルの大きさやネットワーク接続の速度 によっては、ユーザは「ファイルのダウンロード」をキャンセルする時間が ないかもしれない。

[訳者付記: 悪意あるコードの多くは数百バイトから数十キロバイト 前半であり、たいていのネットワーク環境では数秒以内にダウンロードを完了 する。このため、ユーザに与えられた時間はほとんどないと思うべきだろう。 確かに、ダウンロード時に常に確認ダイアログボックスを表示する設定にして いれば判断する時間があるが、相当数のユーザは「二度とこのメッセージを 表示しない」を(おそらくその意味するところを理解しないまま)選択してしまっ ており、この猶予も与えられない。]

CERT/CCはこの脆弱性をVU#443699として 追跡調査してきたが、これはMicrosoft Security Bulletin MS01-058で 記載された"ファイル実行"の脆弱性にぴったり対応する。このMicrosoftの セキュリティ速報は次のところで得られる。

http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-058

This vulnerability is being referenced in CVE as CAN-2001-0727.

II. 影響

ユーザに悪意あるウェブページやHTML書式の電子メールメッセージをを閲覧 するよう仕向けることで、リモートの攻撃者はそのユーザに任意のコードを実行 させることができる。そうしたコードはすべて、その内容を閲覧しようとした ユーザに付与された権限レベルで動作することになるであろう。

[訳者付記] 念のため書くが、Windows 95, 98, Me, XP Home Editionでは 実状としてはユーザの権限レベルに制限を課す利用法は稀であるから、動作中の システムレベルの実行ファイルの一部を除けば事実上あらゆることが可能である。 Windows 2000 Professional, XP Professionalも個人レベルで管理しているものは そのユーザがAdministrator権限を自分に付与していたり、Administratorとして 常に利用しているというケースが多いため、UNIXで言うroot権限と同等になる。 こうしたことから、「ユーザに付与された権限レベルで」ということばを過小評価 してはいけない。

III. 解決策

ベンダ提供の修正パッチを適用せよ

MicrosoftはInternet Explorer用の修正パッチとして、 今回の脆弱性並びにその他の脆弱性を修正する累積的なパッチをリリースした。 このパッチ並びにそれが対処する脆弱性について詳しくはMicrosoft Security Bulletin MS01-058を参照されたい。

http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-058

すべてのセキュリティゾーンでファイルダウンロードを無効にせよ

回避策としては、すべてのセキュリティゾーンでファイルダウンロードを 無効にすることで、悪意あるファイルがダウンロードされてしまうのを防ぐ ことができる。ただし、こうするとブラウザの機能性に影響が出る (訳注: 要するに、 使いにくくなる、ということ)。

Appendix A. - ベンダ情報

このAppendixでは、この勧告に対してベンダが提供してくれた 情報を掲載している。ベンダがCERT/CCに対して新たな情報を報告して きてくれた際は、このセクションを更新し、更新履歴に変更点を記載する。 特定のベンダが掲載されていない場合、それは我々が連絡を受け取っていない ことを意味している。

Microsoft Corporation

Microsoftからは、この脆弱性に関する文書として次のようなものが公開されている。

http://www.microsoft.com/technet/security/bulletin/MS01-058.asp
http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-058
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q313675

CERT Coordination Centerは、Jouko Pynnonenがこの脆弱性の第一発見者である ことをここに明示すると同時に、Microsoftに対してMS01-058で提供される情報について感謝する。

著者: 本文書の著者は Jeffrey P. Lanzaである。

本文書の原文は以下で入手できる。
http://www.cert.org/advisories/CA-2001-36.html

CERT/CCへの連絡は

電子メール: cert@cert.org
電話: +1 412-268-7090 (24-hour hotline)
Fax: +1 412-268-6989
郵便送付先:
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
U.S.A.
CERT/CCの職員は月曜〜金曜の personnel answer the hotline 08:00-17:00 EST(GMT-5) / EDT(GMT-4)であればホットラインを受け付けている。他の時間、合衆国の祝日、週末も緊急時の ため待機している。

暗号を利用する

セキュリティ上微妙な情報を電子メールで我々に送る場合は暗号化することを 強く推奨する。我々の公開PGP鍵は以下で入手できる。

DESを利用したい場合は、CERTホットラインに電話して欲しい。

セキュリティ情報を得る

CERTの出版物ならびにその他のセキュリティ情報はCERTのウェブサイトで見ることができる。

CERTの勧告、速報を配布するメーリングリストを購読したい場合は、 majordomo@cert.org に本文が次のようなメールを送ること。

subscribe cert-advisory

* "CERT" 並びに "CERT Coordination Center" はU.S. Patent and Trademark Officeに登録されている。

NO WARRANTY
Any material furnished by Carnegie Mellon University and the Software Engineering Institute is furnished on an "as is" basis. Carnegie Mellon University makes no warranties of any kind, either expressed or implied as to any matter including, but not limited to, warranty of fitness for a particular purpose or merchantability, exclusivity or results obtained from use of the material. Carnegie Mellon University does not make any warranty of any kind with respect to freedom from patent, trademark, or copyright infringement.
Conditions for use, disclaimers, and sponsorship information

Copyright 2001 Carnegie Mellon University.

Revision History 

December 19, 2001:  Initial release
この翻訳は橋本喜代太(hash@reasoning.org)が行った。 翻訳公開は原文を受け取ってから(訳者の使用しているPOPサーバに メールが届いた時点であり、訳者自身がメールを見た時点ではない) 約2時間半後である。

本和訳の改訂履歴
2001年12月20日午後12時35分 (JST) 初版公開
2001年12月20日午後3時20分 (JST) タイトルがCA-2001-35となっていた 等の内容にかかわらないtypoの修正。また、タイトルを日本語に変更 (すいません。ちょうど公開時に会議に呼び出されたりしたもんで)。 SEAWorksさん、原田さんのご指摘に感謝。(どのようなこまかいご指摘も 歓迎です) 2001年12月20日午後5時30分 (JST) MS01-058へのリンクを修正。松岡氏のご指摘 に感謝。

訳者並びに連絡先: 橋本喜代太