米Microsoftは米国時間2月11日，Internet Explorer（IE）の6種類の新しいセキュリティ・ホールを公表するとともに，それらを修正する“累積”パッチを公開した。6種類のうち最も深刻なセキュリティ・ホールを悪用されると，WebページやHTMLメールを閲覧しただけで，仕込まれた任意のコードを実行してしまう恐れがある。IE 5.01 SP2/5.5 SP1/5.5 SP2/6 用のパッチが公開されているので，IEユーザーは適用する必要がある。ただし，IE 5.01 SP2 については Windows 2000 用のパッチだけが公開されている。

　今回公開されたセキュリティ・ホールは以下の6種類。

（1）Buffer Overrun in HTML Directive
（2）File Reading via GetObject function
（3）File Download Dialogue Spoofing via Content-Type and Content-Disposition fields
（4）Application invocation via Content-Type field
（5）Script execution
（6）Frame Domain Verification Variant via Document.Open function

　このうち，（1）と（2）および（6）については，IE 5.5/6 で「深刻度」が「最大（Critical）」とされている。IE 5.01 は（1）と（5），（6）の影響を受けない。ただし，（1）から（6）のすべてを合わせた深刻度は，IE 5.01/5.5/6 のいずれでも最大とされており，米MicrosoftはIEユーザーに対して，早急にパッチを適用することを勧めている。

　米Microsoftのページに，日本語版用のパッチも用意されている。「Select Language」で「Japanese」を選択すればダウンロードできる。パッチの適用条件は，IE 5.5 の場合は SP1 か SP2 を適用済みであること。IE 5.01 の場合には，SP2 を適用済みで，なおかつ OS がWindows 2000である必要がある。また，IE 5.01 SP2 よりも古いバージョンではテストしていないので，影響を受けるかどうかは不明であるとしている。

　なお，今回公開されたパッチには，2001年12月に公開された「2001 年 12 月 13 日 Internet Explorer 用の累積的な修正プログラム (MS01-058)」が含まれている。「MS01-058」は，IE 5.5 SP2 および IE 6 にしか対応していなかったが，今回のパッチは IE 5.5 SP1 および IE 5.01 SP2（Windows 2000）にも対応している。そのため，今回のパッチを適用すれば，IE 5.5 SP1/5.01 SP2（Windows 2000）も現時点では安全な状態にできると考えられる（関連記事）。

　しかしながら，今までのパッチの対応状況から，IE 5.5 SP2 あるいは IE 6 に“不本意”ながらバージョンアップしているユーザーは多いと思われる。もっと早い段階で IE 5.01 SP2 や IE 5.5 SP1 に対応してもらいたかった。また，IE 5.01 を使用しているユーザーもまだまだ多い。Windows 2000 以外の OS についても対応してもらいたいものだ。

◎参考資料
◆（MS02-005）11 February 2002 Cumulative Patch for Internet Explorer（英語）
◆パッチのダウンロード・ページ(英語）
◆MS02-005 に関する情報(マイクロソフト）