WindowsのMHTMLの脆弱性を突くクロスサイトスクリプティング (XSS) に似た攻撃手法が公開されたのを受け、マイクロソフトは28日、セキュリティアドバイザリを公開した。影響を受けるのは、全てのバージョンのWindows。
MHTML(MIME Encapsulation of Aggregate HTML)は、複数のファイルから成るHTMLのコンテンツを、ひとつのファイルにまとめた形式。画像などを含んだHTMLメールやInternet Explorerのページ保存にある「Webアーカイブ、単一のファイル」で保存する際に、この形式が使われる。
今回見つかった脆弱性は、このMHTMLドキュメント内の各ブロックのMIME形式のリクエストの解釈方法に起因する問題で、悪用されると、標的にしたWebサイトに任意のスクリプトなどを挿入し、そのWebサイトのものとして実行できてしまう。
ブラウザは、表示するページやその中のフレーム内ページ、スクリプトなどが、どのサイトのものなのかを識別しており、セキュリティ上の問題を引き起こすような操作は、サイトをまたがって行えないよう制限している。今回発見された脆弱性を悪用すると、この制限が回避できてしうため、ユーザーになりすまして特定のWebサイトを操作したりといったことが行えるようになる。
たとえば、WebサイトのXSSの脆弱性では、別のサイトなどに仕掛けたワナを踏ませ、脆弱性のあるWebサイトの掲示板に自動的に書き込みさせるといったことができてしまうが、MHTMLの脆弱性を悪用すると、このような悪事が、XSSの脆弱性の有無に関わらず、どのサイトに対しても行えるようになる。
同社は、この問題の当面の回避策として、MHTMLプロトコルを制限する方法などを示しており、MHTMLプロトコルの制限とその解除を自動化する「Fix it」を提供している。下記「サポート技術情報2501696」のページにある「Microsoft Fix it 50602」をダウンロード/実行すると、MHTMLプロトコルが制限され、MHTMLドキュメント内のすべてのゾーンでスクリプトが実行されなくなる。
(2011/01/31 ネットセキュリティニュース)
【関連URL】
・セキュリティ アドバイザリ (2501696)MHTML の脆弱性により、情報漏えいが起こる(マイクロソフト)
http://www.microsoft.com/Japan/technet/security/advisory/2501696.mspx
・サポート技術情報2501696[英文](マイクロソフト)
http://support.microsoft.com/kb/2501696