マイクロソフトは、InternetExplorerの累積的な修正プログラムの配布を開始した。累積的な修正プログラムから、新たに2つのセキュリティホールへの対応がおこなわれている。この2つはいずれも「緊急」レベル(深刻度・最高)の脆弱性だ。 今回対応されたセキュリティホールは、ひとつはObjectタグに関連するバッファオーバーラン脆弱性、もうひとつは「ファイルのダウンロード」ダイアログについての脆弱性。 Objectタグの脆弱性は、オブジェクトの種類を識別するコードのパラメータ処理部分に未チェックのバッファがあり、バッファオーバーラン攻撃によってIEが不正終了したり、攻撃者の仕掛けたコードが実行されるおそれがあるというもの。攻撃者のサイトを訪れるだけでなく、HTMLメールでも攻撃を受ける可能性がある。 「ファイルのダウンロード」ダイアログの脆弱性は、多数のリクエストを同時におこなうとダイアログによる確認なしにファイルが開かれてしまうというもの。通常であれば、ファイルのリンクをクリックしたときに「開く」「保存」「キャンセル」の確認ダイアログが出るが、これをすり抜けるファイルが出てきて外部から悪意のあるコードが送り込まれてしまう。 今回配布された累積パッチが対応するIEは、以下のとおり。 ・Internet Explorer6 ・Internet Explorer6 SP1 ・Internet Explorer6 SP1 for Windows Server 2003 ・Internet Explorer5.5 SP2 ・Internet Explorer5.01 SP3 (Windows2000 SP3環境) 修正の導入は、手動ダウンロードのほか、WindowsUpdateでも可能となっている。