Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset="ISO-2022-JP" Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver. 2.00.03 Message-ID: <20010404082621.2EF2.TAKAGI@etl.go.jp> Date: Wed, 4 Apr 2001 11:00:56 +0900 Reply-To: "TAKAGI, Hiromitsu" Sender: BUGTRAQ-JP List From: "TAKAGI, Hiromitsu" Subject: =?ISO-2022-JP?B?TVMwMS0wMjAbJEIkThsoQk91dGxvb2sgRQ==?= =?ISO-2022-JP?B?eHByZXNzGyRCJFgkTjFGNkEbKEI=?= To: BUGTRAQ-JP@SECURITYFOCUS.COM MS01-020 「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの 添付ファイルを実行する」 http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020 についてですが、 関連報道 http://japan.cnet.com/News/2001/Item/010331-3.html http://www.zdnet.co.jp/news/0104/02/e_ie.html http://www.watch.impress.co.jp/internet/www/article/2001/0402/iesec.htm http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20010402/1/ のどれを見ても、電子メール媒介ワームの流行の危険性について触れられてい ません。 HTMLメールの表示のためにInternet Explorerの機能を使用しているOutlook / Outlook Expressは、この欠陥による被害に実際に遭う可能性が著しく高く、 特に警鐘を鳴らす必要があるはずだと思います。 なぜOutlook / Outlook Expressの問題として明確に報道されないのか疑問に 思い、本当にOutkook Expressで添付ファイルの自動実行が再現するのかどう か、確認してみました。 まず、発見者のデモサイト http://www.kriptopolis.com/cua/eml.html に書 かれているように、Windows Media Player 6に、.wav が関連付けられている 場合にだけ動作し、Windows Media Player 7がインストールされている環境で は動かないとのこと。たしかに、Media Player 7 をインストールした環境で は現象が再現しませんでした。 そこで、Windows 98 2nd Editionのインストール直後の状態で確認したところ、 Outlook Express 5.00.2615.200 で現象が再現しました。  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ また、これに IE 5.01 Service Pack 1をインストールした状態で確認したと ころ、Outlook Express 5.50.4133.2300 で現象が再現しました。  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 一方、Windows 98 2nd Editionに、IE 5.5 SP1 をインストールした状態の環 境でテストしたところ、Outlook Express 5.50.4522.1200 で現象は再現せず、 ファイルを開いています: C:\WINDOWS\Temporary Internet Files\Content.IE5\XXXXXXXX\hello.vbs ------------------------------------------------------------------ ファイルには、ウィルスやコンピュータに問題を起こす可能性のあるもの が含まれていることがあります。このファイルが信頼できるところからの ものか確かめてください。 このファイルの処理方法 ○ 開く(P) ● ディスクに保存する(S) OK キャンセル という警告ダイアログが現れました。ただし、この環境で Internet Explorer で直接問題のファイルにアクセスした場合は、自動的にコマンドが起動される 現象が再現しています。 つまり次のように整理できます。 ・Internet Explorerで罠のページにアクセスしてしまったときの危険性は - MS01-020パッチを適用またはIE 5.01 SP 2をインストール - Windows Media Player 7をインストール の何れかで回避できる。 ・Outlook Expressで罠のメールを受信してしまったときの危険性は - IE 5.5 SP 1をインストール - MS01-020パッチを適用またはIE 5.01 SP 2をインストール - Windows Media Player 7をインストール の何れかで回避できる。 Outlookについては試していませんが、おそらく同様の結果となるのではない かと思います。 次に、Outlook Express以外のメールソフトウェアで、IEをHTML表示に使用し ているものについて、それらも影響を受けるかについて調査してみました。 ・Becky! 2, tsworks MHTMLをサポートしているため、添付ファイルが開かれようとするが、これ らはマルチパートの各パートを独自の実装で展開しており、「.eml」でIE に渡す方式で実装されてはいないため、この問題の影響を受けず、以下の 確認ダイアログが現れる。 ファイルのダウンロード 次の場所からファイルをダウンロードするように選択しました。 C:\……………………………\hello.vbs このファイルの処理方法 ○このプログラムを上記の場所から実行する(R) ●このプログラムをディスクに保存する(S) OK キャンセル ・Datula, EdMax, Winbiff そもそもMHTMLをサポートしていないらしく、添付ファイルが開かれようと することはなく、この問題の影響を受けないようだ。 もちろん、これらのメールソフトウェアを使用していても、罠のページのURL の書かれたメールが流れてくれば、それをIEでアクセスしてしまうと、この問 題の影響を受けることになりますので、パッチを適用する必要性はあります。 Outlook / Outlook Expressがこの欠陥による被害に実際に遭う可能性が著し く高いとする根拠は、罠のサイトへのアクセスを誘う攻撃では、そのサイトが 閉鎖されればひとまず被害の拡大は収まるのに対して、電子メール媒介ワーム が流行してしまうと、いつまでも被害が拡大しつづけてしまうからという意味 でです。また、過去にW97M/Melissaや、VBS/LOVELETTER等によって、Outlook を対象としたワーム作成の技術が既に確立してしまっています。 添付ファイルの自動実行が原理的に可能なセキュリティホールは、今回が初め てではなく、過去にも何件か発覚していますが、バッファオーバーフローによ る方法等に比べて、今回の発覚したものはあまりにも実現が容易であり、それ によって何が可能であるかも明らかであり、危惧される事態が現実のものとな る可能性は著しく高いように思います。 そうした事態を予防するため、MS01-020のパッチの適用、ないしIE 5.01 SP 2 のインストールを徹底するよう、もっと警鐘を鳴らす必要があるはずだと思い ます。特に、マスメディアの方々。 高木 浩光@産業技術総合研究所 http://www.etl.go.jp/~takagi/ (仮) 〒305-8568 茨城県つくば市梅園1-1-1中央第2 独立行政法人 産業技術総合研究所 情報処理研究部門