マイクロソフトは2月8日,Internet Explorer(IE)の旧バージョンにセキュリティ・ホールが見つかったことを明らかにした。影響を受けることが確認されているのは,Windows 2000上のIE 5.01 SP4およびWindows Me上のIE 5.5 SP2。細工が施されたWindowsメタファイル(WMF)画像を読み込むと,悪質なプログラムを勝手に実行される恐れがある。対策は,IE 6 SP1にアップグレードすることなど。

 今回明らかにされたセキュリティ・ホールは,WMFの処理に関するもの。2005年11月に公開された「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」や,2006年1月の「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)」とは別のセキュリティ・ホールである(関連記事)。

 「MS06-001」などのセキュリティ・ホールと同様に,細工が施されたWMF画像を読み込むだけで任意のプログラムを実行される可能性がある。悪質な画像が張られたWebページやHTMLメールを閲覧するだけでも,被害に遭う恐れがある。

 修正パッチは未公開。同社では,同セキュリティ・ホールの詳細について「現在調査中」としている。調査終了後には,ユーザーを「保護する手助けとなる適切な措置をとる予定」であるという。この「適切な措置」には,「セキュリティ更新プログラムの提供が含まれる場合」があるとしている。

 現時点での対策の一つは,IE 6 SP1にアップグレードすること。同社ではWindows 2000 SP4およびWindows Meのユーザーに対して,IE 6 SP1をインストールすることを勧めている。

 また,Windows 2000上のIE 5.01 SP4あるいはWindows Me上のIE 5.5 SP2を利用して,なおかつOutlook/Outlook Expressを使用しているユーザーには,プレビュー・ウインドウを無効にすることを勧めている。HTMLメール中の画像が,意図せずに表示されることを防ぐためである。

 そのほか,信頼できないWebやメールを開かないこと,信頼できないリンクをクリックしないことも「推奨するアクション」として挙げている。これらはセキュリティのセオリーなので,すべてのユーザーが守りたい。

◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (913333) Internet Explorer の脆弱性によりリモートでコードが実行される可能性がある