マイクロソフト、IEやMDACのあらたなセキュリティホールについて警告 | RBB TODAY

マイクロソフト、IEやMDACのあらたなセキュリティホールについて警告

エンタープライズ その他

 マイクロソフトは21日、IEの累積的な修正プログラムと、MDACのセキュリティホールに対する修正プログラムの配布を開始した。いずれも、深刻なセキュリティホールであり、該当するバージョンのソフトウェアを使用している場合は修正の導入を強くおすすめする。

 InternetExplorer(IE)の累積的な修正プログラムは、8月22日にMS02-047として配布された前回の累積的修正プログラムの内容に加え、あらたに6つの脆弱性に対する修正が追加されている。あらたに公表された脆弱性のうち、4つが最高ランクの「重要(Important)」という評価レベルとなっている。この累積パッチを適用しない場合、PNG画像の処理にある未チェックのバッファを悪用して外部からのコード実行される可能性や、実行ファイルやスクリプトを外部から不正に起動・実行される可能性がある。

 今回配布された累積パッチが対応するIEは、以下のとおり。
 ・Internet Explorer6、6SP1
 ・Internet Explorer5.5 SP2
 ・Internet Explorer5.01 SP3 for Windows2000

 なお、GreyMagic Software社によれば、このIE累積パッチを適用した後も同社の指摘した11の脆弱性のうち3つが修正されずに残っているとのことで、GreyMagicではそれらへの対応も終了するまでは、アクティブスクリプト機能をオフにしておくよう勧めている。


 もう一件のセキュリティホールはMDACに関するものだが、これはクライアントシステム(IE)とサーバシステム(IIS)の両方に影響する。MDAC(Microsoft Data Access Components)は、Windowsのいくつかのバージョンに搭載されているデータベースアクセス用コンポーネントである。

 バージョン2.7よりも前のMDACは、RDS(Remote Data Service)機能に未チェックのバッファがあり、外部からサービス拒否攻撃を受けたり、あるいは任意のコードを実行されるおそれがあるという。

 影響を受けるOSはWindows 98/98SE/Me/NT4.0/2000で、これらのOSを利用している場合は、MDAC2.7へのバージョンアップもしくはセキュリティパッチの適用をおこなってほしい。(なお、WindowsXPでは標準でMDAC2.7が組み込まれているため、WindowsXPはこの脆弱性の影響は受けないとのことだ)
《RBB TODAY》

編集部のおすすめ記事

特集

page top