マイクロソフトは、Internet Explorerのセキュリティ上の問題に対する修正プログラムを公開した。5月に公開された修正プログラムから、新たに6つの問題を解決しているという。対象はInternet Explorer 5.01SP2/5.5SP1/5.5SP2/6で、修正プログラムは同社のWebサイトから無償でダウンロードできる。

　今回公開されたプログラムで修正される不具合は6つ。すでに6月に公開されているGopherプロトコルを解釈する部分の脆弱性に対して修正が行なわれることを含め、重要度が「高」のものが3つ、「中」が3つとなっている。

　重要度が「高」とされるのは、Gopherプロトコルの問題と、特別にフォーマットされたテキストを表示する際にActiveXコントロールの脆弱性を利用してバッファオーバーラン攻撃が可能なことと、「フレームのドメイン照合」の新たに確認された脆弱性があり、ローカルのプログラムを実行できること。これらに対して修正が行なわれた。

　また、重要度「中」で修正された問題は、XMLデータを表示する処理方法に問題がありローカルファイルを読み取られること、ファイルダウンロード時のダイアログボックス内のダウンロード元の表示に問題がありユーザーが悪意のあるファイルをダウンロードしてしまう恐れがあること。また、クロスサイトスクリプティングの脆弱性により、スクリプトがローカルで実効される可能性があったことに対しても修正が行なわれた。

　なお、修正プログラムを導入しない場合は、ハードディスクのフォーマットやワームといった意図しないアプリケーションやスクリプトが動作してしまったり、ディスク上の任意のファイルが読み取られるおそれがある。また、Internet Explorerが異常終了したり制御不能になる可能性もあるという。

□Internet Explorer 用の累積的な修正プログラムに関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?
url=/japan/technet/security/bulletin/ms02-047ov.asp
□関連記事：Internet ExplorerのGopherクライアントにセキュリティホール
http://bb.watch.impress.co.jp/news/2002/06/12/iegopher.htm
□Microsoft TechNet
http://www.microsoft.com/japan/technet/
□マイクロソフト
http://www.microsoft.com/japan/

（正田拓也）
2002/08/23 15:56