MS、InternetExplorerの最新累積パッチ公開。外部から不正コードを起動されるおそれのあるセキュリティホール2点に対応
エンタープライズ
その他
今回対応されたセキュリティホールは、ひとつはObjectタグに関連するバッファオーバーラン脆弱性、もうひとつは「ファイルのダウンロード」ダイアログについての脆弱性。
Objectタグの脆弱性は、オブジェクトの種類を識別するコードのパラメータ処理部分に未チェックのバッファがあり、バッファオーバーラン攻撃によってIEが不正終了したり、攻撃者の仕掛けたコードが実行されるおそれがあるというもの。攻撃者のサイトを訪れるだけでなく、HTMLメールでも攻撃を受ける可能性がある。
「ファイルのダウンロード」ダイアログの脆弱性は、多数のリクエストを同時におこなうとダイアログによる確認なしにファイルが開かれてしまうというもの。通常であれば、ファイルのリンクをクリックしたときに「開く」「保存」「キャンセル」の確認ダイアログが出るが、これをすり抜けるファイルが出てきて外部から悪意のあるコードが送り込まれてしまう。
今回配布された累積パッチが対応するIEは、以下のとおり。
・Internet Explorer6
・Internet Explorer6 SP1
・Internet Explorer6 SP1 for Windows Server 2003
・Internet Explorer5.5 SP2
・Internet Explorer5.01 SP3 (Windows2000 SP3環境)
修正の導入は、手動ダウンロードのほか、WindowsUpdateでも可能となっている。
