2013年6月11日火曜日

IE6~IE9の情報漏洩問題を放置? →修正はお預け(by MS)

ニュースサイトから知ったことですが、Tungstenにも少なからず影響を受けることなので、あえて記事を書きます。

JVNが発表した内容によると、 IE6~9にXMLファイルの処理に問題があり、ローカルファイルが漏れる可能性があるようです。

驚いたのは、次の一文。

なお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。

Windows 2000が延長サポートフェーズだった際、OSの設計の問題でTCP/IPの脆弱性を放置した実例もありますが、今回も同様なのでしょうか?
これまでIE6にも頑なにセキュリティパッチを出してきたMSらしからぬ対応で、どうしたものかと思います。

近日MSのセキュリティアドバイザリにも公開されるでしょう。
JVNの発表だけでは、「IE6~IE9はセキュリティホールを放置するので、IE10に(Windows 7以上にさっさと)乗り換えて」 と言っているようにしか聞こえず、MS基準の深刻度はわかりません。
JVNの分析結果は深刻だと言っているのですが・・・

ただ、IE10に乗り換えるにあたっていくつも問題が存在します。たとえば、

  • Windows XP, VistaにはIE10がないので、このセキュリティ問題を回避するにはWindows 7以上にする必要があること
  • OSのサポート期間が終わっていないのにセキュリティ問題を放置すること
  • 古いIEにしか対応しないサイトが数多く存在すること
  • TungstenなどのIEコンポーネントブラウザーでは、JavaScript周りに不具合があり特定のページでフリーズすること
  • Windows7において、IE10の必須コンポーネントであるプラットフォームアップデートとの相性が悪いPCが存在すること

・・・などなど。様々な理由で、簡単に乗り換えられるものではないでしょう。 このセキュリティ問題が深刻なほど、根深い問題となります。

なお、この問題は、ローカルファイルにあるXMLファイルを開いたときに影響を受けるとのことで、 XMLの関連付けを図のようにIEや"XML Editor"以外に変更するとダブルクリックによる実行は回避できそうです。

# これがインターネット上にあるXMLファイルでも起こるのなら、かなり深刻なことになると思いますが、どうなんでしょう?

2013/06/13 追記

この件に関して、MSが反論しています(リンク先はInternet Watch)。

MSの見解では、攻撃者は以下の条件が揃わない限り、攻撃が成立することはないとのこと。

  • 細工したXMLファイルをローカルファイルにダウンロードさせること
  • ダウンロードしたローカルファイルのフルパスを知っていること
  • 細工したXMLファイルをIEで開かせること
細工したXMLの作り方などの詳しい情報が公開されていないので、悪用される危険性は低く、 このセキュリティ修正を行う優先度が相対的に低くなり、「修正予定は(しばらく)ない」ということだった模様です。

ローカルファイルに怪しいXMLファイルを保存しないことが回避策です。
※とはいえ、ダウンロードフォルダーの場所をデフォルトのままにしている人も少なくないはずで、 細工したXMLの作り方さえわかれば実は攻撃可能では・・・?

要するに、公開されている情報がJVNにしか載っておらず、情報が足りないせいでユーザーが混乱した・・・ (しかも、深刻度が高めに見えて「修正予定はない」と言ったせいで余計な誤解が生まれた) というところでしょうか。