米Microsoftは米国時間2月11日,Internet Explorer(IE)の6種類の新しいセキュリティ・ホールを公表するとともに,それらを修正する“累積”パッチを公開した。6種類のうち最も深刻なセキュリティ・ホールを悪用されると,WebページやHTMLメールを閲覧しただけで,仕込まれた任意のコードを実行してしまう恐れがある。IE 5.01 SP2/5.5 SP1/5.5 SP2/6 用のパッチが公開されているので,IEユーザーは適用する必要がある。ただし,IE 5.01 SP2 については Windows 2000 用のパッチだけが公開されている。
今回公開されたセキュリティ・ホールは以下の6種類。
(1)Buffer Overrun in HTML Directive
(2)File Reading via GetObject function
(3)File Download Dialogue Spoofing via Content-Type and Content-Disposition fields
(4)Application invocation via Content-Type field
(5)Script execution
(6)Frame Domain Verification Variant via Document.Open function
このうち,(1)と(2)および(6)については,IE 5.5/6 で「深刻度」が「最大(Critical)」とされている。IE 5.01 は(1)と(5),(6)の影響を受けない。ただし,(1)から(6)のすべてを合わせた深刻度は,IE 5.01/5.5/6 のいずれでも最大とされており,米MicrosoftはIEユーザーに対して,早急にパッチを適用することを勧めている。
米Microsoftのページに,日本語版用のパッチも用意されている。「Select Language」で「Japanese」を選択すればダウンロードできる。パッチの適用条件は,IE 5.5 の場合は SP1 か SP2 を適用済みであること。IE 5.01 の場合には,SP2 を適用済みで,なおかつ OS がWindows 2000である必要がある。また,IE 5.01 SP2 よりも古いバージョンではテストしていないので,影響を受けるかどうかは不明であるとしている。
なお,今回公開されたパッチには,2001年12月に公開された「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」が含まれている。「MS01-058」は,IE 5.5 SP2 および IE 6 にしか対応していなかったが,今回のパッチは IE 5.5 SP1 および IE 5.01 SP2(Windows 2000)にも対応している。そのため,今回のパッチを適用すれば,IE 5.5 SP1/5.01 SP2(Windows 2000)も現時点では安全な状態にできると考えられる(関連記事)。
しかしながら,今までのパッチの対応状況から,IE 5.5 SP2 あるいは IE 6 に“不本意”ながらバージョンアップしているユーザーは多いと思われる。もっと早い段階で IE 5.01 SP2 や IE 5.5 SP1 に対応してもらいたかった。また,IE 5.01 を使用しているユーザーもまだまだ多い。Windows 2000 以外の OS についても対応してもらいたいものだ。
◎参考資料
◆(MS02-005)11 February 2002 Cumulative Patch for Internet Explorer(英語)
◆パッチのダウンロード・ページ(英語)
◆MS02-005 に関する情報(マイクロソフト)
