マイクロソフト社がIEのバグをパッチ修正

概要：
　マイクロソフト社がInternet Explorer (IE)ウェブブラウザー用に作成した最新パッチにより、ダウンロードされるファイルの拡張子を隠すバグが遠隔地から悪用されるのを回避することができる。このバグは、IEによる特定のHTTPヘッダーの処理方法が原因で発生する(ID# 106547, Dec. 13, 2001)。

　ターゲットユーザーが悪質なPHPファイルとは知らずにそのファイルへのリンクをクリックすると、ダウンロード用のダイアログボックスが表示され、ファイルを現在の場所から開くか、またはディスクに保存するかの選択を求められる。ここで表示されるファイル名は.txt拡張子の付いたPHPファイル名で、実際にダウンロードされる実行ファイル名ではない。ユーザーが現在の場所からファイルを開くことを選択すると、実行ファイルが自動的に実行されるため、次に表示されるべき警告ダイアログボックスが省略されてしまう。しかし、ユーザーがファイルがディスクに保存されるよう選択すると、実際にダウンロードされるファイル名とファイルの種類が次のダイアログボックスに表示される。

　また、この最新のパッチはIE.5.5及びIE6でこれまでに発見されたセキュリティ上の問題をすべて網羅している。

情報ソース：
Microsoft Corp. (Security Bulletin MS01-058, ） Dec. 13, 2001
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp

分析：
(iDEFENSE 米国)　ユーザーは安全なファイルをダウンロードしていると誤解するため、攻撃者がこの脆弱性を利用してウィルス、ワーム、トロイの木馬などの悪質な実行ファイルをインストールすることが可能。この脆弱性は、さらに高度な攻撃(DNSキャッシュポイズニング、ワームの増殖など)と併用して使用する事も可能である。

検知方法：
　IE 5.5および6が影響を受ける。

暫定処置：
　ウェブブラウザーから直接実行せず、一旦保存する習慣を付ける事が効果的である。また、保存の際にSave Asダイアログボックスでファイル名とファイルの種類を確認することも効果的である。ファイル名とファイルの種類は、実際にダウンロードされているファイルのものと一致しているかを確認すれば良い。

ベンダー情報：
　このパッチの入手場所は以下のとおり。

http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp

　IE5.5のパッチはIE 5.5 Service Pack (SP) 2へのインストールが可能で、SP3に追加される予定。IE 6のパッチはIE 6 Goldへのインストールが可能で、IE 6 SP1に追加される予定。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【19:09 GMT、12、14、2001】