マイクロソフト セキュリティ情報 MS03-008

技術的な説明 :
Windows スクリプト エンジンは、Windows オペレーティング システムでスクリプト コードを実行する機能を提供します。スクリプト コードは、Web ページに機能を追加したり、オペレーティング システムまたはプログラム内でタスクを自動化するために使用することができます。このコードは、Visual Basic スクリプト （英語情報）、または JScript （英語情報） など、いくつかの異なるスクリプト言語の形式で記述することができます。

JScript (英語情報) 用の Windows スクリプト エンジンが、情報を処理する方法に問題が存在します。攻撃者がこの脆弱性を悪用し、Web ページを作成し、ユーザーが訪問した際に、ユーザーの権限で攻撃者の任意のコードが実行される可能性があります。そのような Web ページは Web サイトにホストされるか、または電子メールにて直接ユーザーに送信される可能性があります。

マイクロソフトは、この脆弱性に対する更新プログラムを提供し、影響を受けるすべてのお客様にその更新プログラムを直ちに適用するように推奨いたします。お客様がその更新プログラムの影響と互換性のテストを行う際に、この脆弱性が悪用されるのを防ぐために使用可能な別の予防手段を確認しました。これらの一時的な回避策は、「よく寄せられる質問」 の 「回避策」 の欄で説明しています。

問題を緩和する要素 :

• 攻撃者が攻撃を実行するには、ユーザーが攻撃者の運営する Web サイトを訪問するか、または攻撃者から送信された HTML 形式の電子メールを受信することが必要条件となります。
• Internet Explorer でアクティブ スクリプトを無効に設定したコンピュータには、この問題の影響はありません。
• 攻撃者がこの脆弱性を悪用した場合、ユーザーと同じ権限のみが与えられます。システム上で低い権限を設定されたアカウントを持つユーザーは、管理者権限で実行しているアカウントを持つユーザーよりも危険性は低いと言えます。
• この脆弱性を悪用した、HTML 形式の電子メールによる自動化された攻撃は、Outlook Express 6 または Outlook 2002 を既定の構成で使用するか、または Outlook 電子メール セキュリティ アップデートをインストールした Outlook 98 または 2000 を使用することによって阻止することができます。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
CAN-2003-0010

テストしたバージョン :
マイクロソフトは Windows 98、Windows 98 Second Edition、Windows Me、Windows NT 4.0、Windows NT 4.0 Terminal Server Edition、Windows 2000、Windows XP のテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、任意のコードをローカル マシンのコードのように実行する可能性があります。

何が原因で起こりますか?

この脆弱性は、JScript （英語情報） スクリプト言語 （JScript.dll） を処理する Windows スクリプト エンジンのヒープ オーバーフローが原因で起こります。

スクリプト言語とは何ですか?

スクリプト言語は、HTML 形式の Web ページまたはオペレーティング システムに機能を追加するために使用することができます。スクリプト言語により、Web 作成者は変数を設定、保存し、データを HTML コードで処理することができます。たとえば、スクリプトを使用して、ユーザーが実行している Web ブラウザのバージョンのチェック、入力のチェック、アプレットまたはコントロールの実行、およびユーザーとの通信を行うことができます。

また、Windows では、スクリプトを使用して、設定の変更またはネットワーク ドライブのマッピングなどのオペレーティング システムのタスクを自動化することができます。

スクリプトエンジンとは何ですか?

Windows スクリプト エンジンは、Windows 内で JScript または VBscript などのスクリプト言語で記述されたスクリプト コードを変換、実行するコンポーネントとして機能します。

Jscript とは何ですか?

JScript （英語情報） は、 Microsoft による ECMA （英語情報） 262 規格仕様に準拠した言語 (ECMAScript Edition 3) です。

Jscript は、変換された、オブジェクトベースのスクリプト言語です。一般的には Jscript の機能は、C++ のような完全なオブジェクト指向の言語よりも少ないと言えます。スタンドアロン型のアプリケーションは、Jscript で記述することはできず、たとえば、JScript （英語情報） スクリプトは、Active Server Pages (ASP)、Internet Explorer、Windows スクリプト ホストなどのインタープリタまたは 「ホスト」 が存在する場合にのみ実行することができます。

Jscript を処理する Windows スクリプトエンジンの何が問題になっていますか?

Jscript スクリプト エンジンがスクリプトを処理する方法に問題が存在します。Jscript スクリプト エンジンでは、メモリー操作の際にバッファのサイズが正しく測定されません。

この脆弱性により攻撃者は何ができますか?

この脆弱性により、攻撃者が任意のコードをシステムのユーザー権限で実行する恐れがあります。

Internet Explorer を使用していない場合、この更新プログラムは必要ですか?

はい、必要です。この脆弱性は、Windows スクリプト エンジンに存在します。マイクロソフトは、すべてのお客様に、直ちにこの更新プログラムを適用することを推奨します。

攻撃者は、どのようにこの脆弱性を悪用する可能性がありますか?

攻撃者がこの脆弱性を悪用するには、特別に作成したスクリプト コードを含む Web ページを作成することが必要条件となります。攻撃は、次の 2 つの方法のいずれかで実行される可能性があります。1 つ目は、攻撃者は、Web サイト上に Web ページをホストし、ユーザーがそのページを訪問した際に、その Web ページによってスクリプトが呼び出され、この脆弱性が悪用される可能性があります。2 つ目の方法では、攻撃者は、HTML 形式のメールとしてそのような Web ページを送信する可能性があります。受信者がそのようなメールを開くと、Web ページにより、その機能が呼び出され、この脆弱性が悪用される可能性があります。

HTML メールを悪用した攻撃のシナリオでは、ユーザーが Outlook Express 6 または Outlook 2002 を既定の構成で使用するか、または Outlook 電子メール セキュリティ アップデートをインストールした Outlook 98 または 2000 を使用している場合、自動化された攻撃は行われず、攻撃が行われるには、ユーザーが電子メールで送信された URL をクリックすることが必要条件となります。しかし、ユーザーが Outlook Express 6 または Outlook 2002 を既定の構成で、またはOutlook 電子メール セキュリティ アップデートをインストールした Outlook 98 または 2000 を使用していない場合、ユーザーが電子メール上の URL をクリックしなくても、攻撃者は自動化された攻撃を引き起こす可能性があります。

更新プログラムは何を修正しますか?

この更新プログラムは、影響を受ける Jscript の機能で、入力検証が適切に行われるようにすることによって、この脆弱性を解決します。

回避策

この更新プログラムのテストまたは評価を行う際に、この脆弱性が悪用されるのを防ぐために使用することができる回避策はありますか?

はい、あります。マイクロソフトは、すべてのお客様に、この更新プログラムをなるべく早急に適用することを推奨していますが、当面の間、この脆弱性が悪用されるのを防ぐために適用できる回避策が多数あります。

これらの回避策は、その脆弱性を解決するというよりも、単に攻撃の方法を回避するものであるため、一時的な手段とする必要があることにご注意ください。

以下のセクションでは、お客様のコンピュータを攻撃から保護するための情報が提供されています。お客様のコンピュータの構成によって異なる回避策が、それぞれ説明されています。

• Internet Explorer のアクティブ スクリプトを無効にする
  
  以下のサポート技術情報に記載されているステップに従い、アクティブ スクリプトのサポートを無効にすることができます。
  
  http://support.microsoft.com/kb/154036
  
  Internet Explorer のスクリプトのサポートを無効にすることによって、インターネット上の多くの Web サイトの機能に影響が及び、これを一時的な回避策のみとして使用する必要があることにご注意ください。
• 必要に応じ、Outlook 電子メール セキュリティ アップデートをインストール
  
  電子メールを悪用した攻撃の場合、ユーザーが Outlook Express 6 または Outlook 2002 を既定の構成で使用するか、または Outlook 電子メール セキュリティ アップデートをインストールした Outlook 98 または 2000 を使用している場合、自動化された攻撃は行われず、攻撃が行われるには、電子メールで送信された URL をユーザーがクリックすることが必要条件となります。しかし、ユーザーが Outlook Express 6 または Outlook 2002 を既定の構成で使用していない、またはOutlook 電子メール セキュリティ アップデートをインストールした Outlook 98 または 2000 を使用していない場合、ユーザーが電子メール上の URL をクリックしなくても、攻撃者は自動化された攻撃を引き起こす可能性があります。Web ベースの攻撃、電子メールの攻撃の両方の場合において、ユーザーの権限のすべての制限により、攻撃者のスクリプトによる操作も制限されます。
• Web サイトを信頼するサイトのみに制限
  
  この問題に対する別の回避策として、インターネット ゾーンのアクティブ スクリプトを無効にした後に、信頼するサイトを Internet Explorer の [信頼済みゾーン] に追加することができます。これにより、信頼済みでないサイトの制限を強化しつつ、今行っている方法と全く同様に、信頼するサイトに引き続きアクセスすることができます。更新プログラムを展開することができるようになった際に、インターネット ゾーンのアクティブ スクリプトを再度有効にすることができます。
  
  信頼するサイトを Internet Explorer の [信頼済みゾーン] に追加するには、以下のステップを行ってください。
  • [ツール] - [インターネット オプション] の順に選択し、次に [セキュリティ] タブをクリックします。
  • [Web コンテンツのゾーンを選択してセキュリティのレベルを設定する] と記載されたボックスで、[信頼済みサイト] をクリックし、次に [サイト] をクリックします。
  • セキュリティで保護された接続を必要としないサイトを追加したい場合、下の [このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] というチェックボックスをオフにします。
  • [次の Web サイトをゾーンに追加する] と記されたボックスに、信頼するサイトの URL を入力し、次に [追加] ボタンをクリックします。この手順をゾーンに追加するサイト毎に繰り返します。
  • [OK] ボタンを 2 度クリックし、変更を実行し、Internet Explorer に戻ります。

コンピュータ上で悪意のある動作が行われないと信頼するサイトをすべて追加してください。特に、追加しておきたい 1 つのサイトは、http://update.microsoft.com/microsoftupdate/ です。これは、この更新プログラムがホストされているサイトで、このサイトでは、更新プログラムのインストールにアクティブ スクリプトを必要とします。一般的に、使用上の利便性をとるか、セキュリティをとるかという問題があることにご注意ください。高度なセキュリティで保護をした構成を選択することにより、悪質な Web サイトによる攻撃の可能性は非常に低くなる可能性がありますが、多くの有効な機能を使用できなくなるという代償が発生します。セキュリティと利便性の適切なバランスはユーザーによって異なるため、お客様が必要な構成を選択する必要があります。しかし幸いなことに構成の変更は簡単で、更新プログラムをインストールができるようになるまでの間に、様々な構成を試し、適切な構成を確認することができます。

この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
すべての Windows システム用の更新プログラムは、Microsoft Update にてダウンロードすることができます。また、以下の更新プログラムを介して、手動で適用することができます。また、これらの更新プログラムは、手動でインストールするためにダウンロードすることもできます。

• Windows 98 および Windows 98 SE:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=c6504fd9-5e2c-45bf-9424-55d7c5d2221b&DisplayLang=ja
• Windows Me:
  http://download.microsoft.com/download/7/7/3/7739a3af-83f7-42f2-85b4-f512bf90d5b9/js56mjp.exe
• Windows NT 4.0:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=c6504fd9-5e2c-45bf-9424-55d7c5d2221b&DisplayLang=ja
• Windows NT 4.0, Terminal Server Edition:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=c6504fd9-5e2c-45bf-9424-55d7c5d2221b&DisplayLang=ja
• Windows 2000:
  • この問題に対する Windows Script Host 5.1 用の修正は Windows 2000 Service Pack 4 以降に含まれています。Windows 2000 日本語版の最新の Service Pack は、以下の Web サイトから入手できます。
    http://www.microsoft.com/japan/windows2000/downloads/
    
    なお、個別の更新プログラムは以下の Web サイトから入手できます。
    http://www.microsoft.com/downloads/details.aspx?FamilyID=a9eecbf9-019c-4667-8943-2b0142591b9e&DisplayLang=ja
  • Windows Script Host 5.5 または Windows Script Host 5.6 をご利用のお客様は、この問題に対する更新プログラムを以下の Web サイトから入手できます。
    http://www.microsoft.com/downloads/details.aspx?FamilyID=824b1bd4-b4d6-49d5-8c58-199bdc731b64&DisplayLang=ja
• Windows XP Home Edition および Professional Edition:
  http://www.microsoft.com/downloads/details.aspx?FamilyID=824b1bd4-b4d6-49d5-8c58-199bdc731b64&DisplayLang=ja

このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。

Microsoft Update の利用方法については以下のサイトを参照してください。

• Microsoft Update 利用の手順
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx