米Microsoftは米国時間11月12日,Internet Explorer(IE) 5.5/6 の複数のセキュリティ・ホールを解消する“累積パッチ”を公開した。同パッチの適用により,(1)パッチが公開されていなかった「(MS01-055)Internet Explorer の Cookie データが,スクリプトを介し漏えいまたは変更される」のセキュリティ・ホール,(2)新たに発見されたセキュリティ・ホール,および(3)過去のパッチでは解消しなかった「(MS01-051)不正なドットなし IP アドレスにより Web ページがイントラネット ゾーンで処理されてしまう」のセキュリティ・ホールを解消できる。11月16日現在,米Microsoftのサイトにおいて,「Select Language」で「Japanese」を選択すれば,日本語版パッチをダウンロードできる。
(1)および(2)のセキュリティ・ホールは,Cookie の取り扱いに関するもので,悪用されるとユーザーのCookie情報を盗まれたり,改ざんされたりする恐れがある([関連記事])。(1)については,英語情報は米国時間11月8日,日本語情報は11月9日に公開されていたものの,パッチは公開されていなかった。(2)については,セキュリティ・ホールに関する情報も公開されていなかった。なお,(1)のセキュリティ・ホールの「最大危険度(Maximum Severity Rating)」は,情報公開時には「高(High)」であったが,今回パッチの公開とともに変更された情報には,「中(Moderate)」に変更されている。変更の理由については特に記載されていない。
(3)は,ドットなし IP アドレスの取り扱いに関するセキュリティ・ホールである。インターネット上のページを「イントラネット ゾーン」のセキュリティ設定で開いてしまう恐れがある([関連記事])。これについては既にパッチが公開されていたが,そのパッチでは防げない攻撃手法が存在していた([関連記事])。今回のパッチを適用することで,それについても防ぐことができる。なお,今回のパッチは,既に公開されている「MS01-051」のパッチの内容も含んでいる。
◎参考文献
◆Microsoft Security Bulletin MS01-055 November 2001 Cumulative Patch for IE(米Microsoft)
