セキュリティ雑感

第１報

IEにクラッシュを引き起こす未パッチのバグ 2005/07/01 10:28

特定のActiveXコンポーネントを使ったHTMLページをロードすると、プロセッサのレジスタを書き換えることが可能だという。すると、理論的にはコンピュータのメモリに不正コードを仕掛ける、「ヒープベースのバッファオーバーフロー」が可能になると・・・、
アイズナー氏の予想では、Microsoftは今後2、3週間以内にパッチを提供するという。

「特定のActiveXコンポーネントを使ったHTMLページをロードすると」って言い方が良く分からないんですが、「悪意のあるActiveXをダウンロードすると」ってこととは違うのでしょうか？ 同じなら
んなもんダウンロードするやつが悪い！
ってだけで私は終わりにしてしまうのですが。そうでないケースとしてはかつてこういうこともあったのでちと大問題かもしれません。
「IEにフィッシングの危険--ActiveXに問題」2004/12/20
（ちなみにこれはMS05-013　公開日: 2005年2月9日 で解消されましたが）
ActiveXをオフにしていれば気にすることは無いですがね。

第２報

くっそー！　また小川さんに先を越された！（笑）
私が書き込もうと思った１５分前にHotFix Report BBS に出ていました。しょうがないので私はウイルス対策掲示板の方に。
このセキュリティホールですが、「A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit」Microsoft Security Advisory (903144)
のタイトルからも解る通り、MicrosoftのJava VMが入っていなければ、あるいは停止すればそれで問題は起こりません。これ自体は大昔から推奨されていて、かつそれとは別の問題からマイクロソフトは現在デフォルトでは組み込んでいません。

• ご参考　「Microsoft Java VMを手動で削除する方法」（＠IT／Windows Server Insider）

それと、私の勤務先ではあまり重視していません。
なぜかと言うと、IEの設定をIE6のデフォルトよりも更に安全に、Windows Server2003の上のＩＥの Enhanced Security Configurationとして知られている制限されたモードと同じにしているからです。

ドリッパさん情報

ITmedia に新しい記事が出ていました。
「Microsoft、IE の未パッチの脆弱性を認める」
> 同社は、パッチや回避策が準備されるまでの間の自衛策として、IE のセキュリティ設定を変更し、 「インターネット」 および 「イントラネット」ゾーンのセキュリティレベルを 「高」 に設定するよう 推奨している。

なんで 「イントラネット」ゾーンもなんだよ、また悪夢のクロスゾーンでも絡んでいるのかい？　と怪訝に思ったのですがそんなことは無いようです。
Microsoft Security Advisory (903144)　及び、Secunia Advisory: SA15891
にある、

Solution:
 The vendor recommends setting Internet and Local intranet security zone settings to "High".

は"High"でなければダメ・・・、ではありません。
主に外部の怪しげサイトを見に行ったときの危険性ですからイントラネットゾーンでの心配はインターネットゾーンの1/100ぐらいでは無いでしょうか？
もちろん個人ＰＣはイントラネットゾーンなんて使いませんから"高"でも良いですが。XP SP2が前提なら"中"でも安全でしょう。デフォルトの"中低"は万一の場合を考えると危険すぎると私は思いますが。

 先のMicrosoft Security Advisory (903144)のWorkarounds（回避策）の中にも

5. Click Local intranet, and then click Custom Level. 
6. Under Settings, in the ActiveX controls and plug-ins section, under Run ActiveX controls and plug-ins, click Prompt or Disable, and then click OK.

「ActiveX コントロールとプラグイン部分で、 Prompt かDisableをクリックしてください」とありました。これなら納得です。社内のLAN上（イントラネット）なら私でも少しは信用していますので。
結局のところ、昔から言われていた安全対策の範囲以上に気おつけなければならないことなど無いみたいですね。もちろん人間の注意力が一番大事ですが。

その３

デジタルアドバンテージの小川 誉久さんが書かれた「Microsoft Java VMを手動で削除する方法」を読んでみました。いや、ちゃんと記事を読めば最初から書いてあったんですがマイクロソフトのリンク先を先につまみ食い。おお、これは便利なものが！

Microsoft JVM の削除ツールについて
http://support.microsoft.com/kb/826878/ja

Microsoft Java Virtual Machine (MSJVM) の削除ツールは現在、ダウンロード サイトから提供されていません。この変更の詳細について、この資料の「解決方法」および「詳細」で説明します。

げっ！　解決方法には

組織内に IT 担当者またはそれに類する職務の担当者がいます。

その「詳細」には？

MSJVM の削除ツールによる影響はシステム全体にわたること、およびこの影響は元に戻すことができないことを考慮し、このユーティリティはシステム管理者、ネットワーク管理者およびその他の IT 担当者のみに提供することにしました。

おそらくJVM を使用したアプリケーションを持ったままJVMを削除してアプリケーションが動かないとかのトラブルと言うか苦情が殺到したのではないでしょうか？
でも私は今時こいつが入って居る人は少ないんじゃないかと思っているので、それを確認する方が先ですね。こちらは今でも使えます。

Microsoft VM 診断ツール
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e38f4f9-ce7e-4271-8836-a7d7293a992f&displaylang=ja

セットアップの実行後、[プログラム] メニューにアプリケーションのフォルダが追加されます。[プログラム] メニューのアイコンを使用してウィザードを実行できます。解答したらJPNと言うフォルダが出来ました。

「セットアップの実行後」ってJavaDiag.msiをクリックすれば良いのかな？　えい！
「Microsoft VM 診断ツール　セットアップウイザードの開始」って画面が開きました。
「使用許諾契約」に同意し「次へ」「次へ」・・・インストール完了みたいです。
画面左下のいつもの「スタート」から「プログラム」をクリック、お～、「Microsoft VM 診断ツール」があるではないですか！
って感動するほどのことでも無いのですが。で実行すると・・・
「Microsoft VM 診断ツールウイザードの開始」が出ました。「次へ」を押すと・・
「スキャンするコンピュータを下の一覧に追加してください。」
いや、この１台だけで良いのだけど。
一覧にはなんか「home-pc」ってのがあります。これが俺のＰＣの名前かな？
大文字だったような気もするけど、まあいいや、でそのまま「次へ」
「ファイルスキャン　スキャンモードオプション」なんて選択が出てきました。
どうしましょ。まあデフォルトのクイックスキャンでいいや、「次へ」
「レポート出力ファイル」の場所が表示されます。
ふむふむ、ようするにマイドキュメントの中を見れば良いのね。では「スキャンの開始」・・・、
「状態」の窓に実行経過が出て来ます。１分ぐらいですかね？　「完了しました」と出たので、マイドキュメントの中を見に行きます。
「Microsoft VM 診断ツール」ってフォルダが出来てますね。えっ？　中身は空だぞ！　
おっと「Microsoft VM 診断ツール」の画面に「レポートの表示」と言うのがありました。
こいつをクリックすると、フォルダにJavaDiag.htmってファイルが。と同時にそのレポート「Microsoft VM 診断ツール - 検索結果」が表示されました。
ところでこの「Microsoft VM 診断ツール」閉じようとしても「現在進行中です」と出ますね。バグだこりゃ！　（笑）
ところで結果は・・・

Microsoft VM は見つかりませんでした: home-pc.

だろうな～。確かXPのインストールの時に「入れますか？」と聞かれて「嫌じゃ！」と解答したはずですので。最近ＰＣを買った人はMicrosoft VM は入っていないはずです。いつ頃からかって？　さ～？　WindowsXP SP1a からなんですがあれって出荷ベースではいつ頃だっけ？　まあ、このツールを使って調べてみるのが確実でしょう。もしも入っていたらそれを使っているアプリケーションが「Microsoft VM への依存関係レポート 」に出てくるんじゃないかな？
もっとも無いことだけを確認するなら「ファイルの検索」でJavaprxy.dllを探してみる方がてっとり早いですがね。（笑）
なんかのアプリケーションが使っていたらそのアプリケーションがMicrosoft VM でなければダメなのかを調べてみましょう。最近はほとんどSunのJaveで大丈夫なはずです。古いアプリケーションなら最新バージョンに更新しましょう。
小手先で「IEからJavaprxy.dllを呼び出せないようにレジストリを変更する」なんて回避策を取るよりMicrosoft VM を止めちまった方が将来の為です。その方法は「Microsoft Java VMを手動で削除する方法」を参考にしてください。もちろん調査中の間は「Microsoft、IE脆弱性への対応策を公開――フルパッチの投入は未定」の記事に

Microsoftは7月5日、レジストリテーブルでJavaprxy.dllファイルを無効にするソフトウェアをリリースした。これは、Microsoft Java Virtual Machineに使われるコンポーネントだという。

とあるツールでJavaprxy.dllファイルを無効にするのも良いでしょうが、根本的解決はMicrosoft VM を止めちまうことだと思います。これはMicrosoft 叩きではありません。Microsoft はもうSunと和解してMicrosoft VM をバンドルしていないのですから。上記の記事で

Microsoftでは根本的な問題解決のためのパッチをリリースするかどうかについては決めかねていると広報担当者は述べている。

とあるのは私は理解出来ます。