マイクロソフトは4月4日,3月1日に公開した「Internet Explorer(IE)のActiveX更新プログラム」を,4月に公開予定のセキュリティ更新プログラム(修正パッチ)に含めることを明らかにした。併せて,「ActiveX更新プログラム」を有効にさせない「Compatibility Update(互換性維持のための更新プログラム)」をリリースすることも発表した。
ActiveX更新プログラムは,一部のActive Xコントロール(プラグイン)の実行時に確認画面が出るようにするパッチ(関連記事)。このパッチを適用すると,「APPLET」「EMBED」「OBJECT」要素でActiveXコントロールを呼び出すWebページにIEでアクセスすると,確認画面が表示されるようになる。米Eolas Technologiesとの特許侵害訴訟に対応するために,同パッチをリリースした(関連記事)。
マイクロソフトでは,このプログラムはセキュリティ・パッチではないことを説明する「セキュリティ・アドバイザリ」を3月1日付けで公開している(関連記事)。同社はこのセキュリティ・アドバイザリを更新し,4月12日公開予定の「IE用の累積的なセキュリティ更新プログラム」にActiveX更新プログラムを含めることを明らかにした。
「IE用の累積的なセキュリティ更新プログラム」には,「createTextRange()」メソッドに関するセキュリティ・ホールの修正も含まれる(関連記事)。同セキュリティ・ホールを悪用するプログラムやWebサイトがネット上に続出しているため,米Microsoftではパッチの作成および検証作業を進めていることを明らかにしている(関連記事)。
マイクロソフトでは,ActiveX更新プログラムを含む「IE用の累積的なセキュリティ更新プログラム」の公開に合わせて,「Compatibility Update」をリリースすることも明らかにした。「Compatibility Update」を適用すれば,6月に公開予定のIEのパッチがリリースされるまでは,ActiveXコントロールを使用するページの処理方法が変更されず,確認画面は表示されないままとなる。
◎参考資料
◆マイクロソフト セキュリティ アドバイザリ (912945) Internet Explorer 用のセキュリティ以外の更新プログラム
◆Internet Explorer の ActiveX 更新プログラム
