マイクロソフト、IEの最新累積パッチ公開。外部から不正コードを起動されるおそれのあるセキュリティホール2点に対応 | RBB TODAY

マイクロソフト、IEの最新累積パッチ公開。外部から不正コードを起動されるおそれのあるセキュリティホール2点に対応

エンタープライズ その他

 マイクロソフトは、InternetExplorerの累積的な修正プログラムの配布を開始した。新たに2つのセキュリティホールへの対応がおこなわれている。うち1つはCritical(深刻)な脆弱性だ。

 今回対応されたセキュリティホールは、「Objectタグの処理にある不具合で不正なコードが実行される(深刻)」「ブラウザにキャッシュされているスクリプトがマイコンピュータゾーンで実行される(重要)」の2つ。

 Objectタグの脆弱性は、オブジェクトの種類を識別するコードに不具合があり、不正なコードが実行されるおそれがあるというもの。攻撃者のサイトを訪れたり、HTMLメールによって攻撃を受ける可能性がある。ただし、実行権限はブラウザを利用しているユーザのものとなる。

 2つめの、キャッシュされたスクリプトがゾーン判定をくぐり抜けて実行されるという不具合では、不正にスクリプトが実行されるほか、PC上のプログラムを勝手に実行される、あるいはPC上のファイルをのぞき見られたりするおそれがある。

 なお、米国MSの発表にあるもうひとつの新規の脆弱性(BR549.DLLのバッファオーバーラン脆弱性)については、日本語版IEは当該DLLを含んでおらず、対象外ということのようだ。

 今回配布された累積パッチが対応するIEは、以下のとおり。
 ・Internet Explorer6.0
 ・Internet Explorer6.0 SP1
 ・Internet Explorer6.0 SP1 for Windows Server 2003
 ・Internet Explorer5.5 SP2
 ・Internet Explorer5.01 SP3 (Windows2000 SP3、SP4環境)

 修正の導入は、手動ダウンロードのほか、WindowsUpdateでも可能となっている。
《伊藤雅俊》

特集

page top