マイクロソフトは4月17日,Mac用のInternet Explorer(IE)やOfficeにセキュリティ・ホールがあることを明らかにした。細工が施されたWebページやHTMLメールを閲覧すると,それらに仕込まれた不正なプログラム(コード)を実行してしまう恐れがある。
影響を受けるのは以下の製品。
- Microsoft Internet Explorer 5.1 for Macintosh OS X
- Microsoft Internet Explorer 5.1 for Macintosh OS 8 & 9
- Microsoft Outlook Express 5.0-5.0.3 for Macintosh
- Microsoft Entourage v.X for Macintosh
- Microsoft Entourage 2001 for Macintosh
- Microsoft Power Point v.X for Macintosh
- Microsoft Power Point 2001 for Macintosh
- Microsoft Power Point 98 for Macintosh
- Microsoft Excel v.X for Macintosh
- Microsoft Excel 2001 for Macintosh
現在日本語版パッチが用意されているのは以下の製品で,これら以外については準備中である。
- Microsoft Internet Explorer 5.1 for Macintosh OS X
- Microsoft Internet Explorer 5.1 for Macintosh OS 8 & 9
今回のセキュリティ・ホールの原因は,ある特定のHTMLエレメント(要素)の処理に問題があること。そのため,ある細工が施されたHTMLファイルを読み込むと,バッファ・オーバーフローが発生し,ファイルに仕込まれた任意のコードを実行する恐れがある。
細工を施したHTMLファイルは,Officeのデータ・ファイル(文書ファイル)中に仕込むことも可能である。そのため,IEやOutlook Expressだけではなく,PowerPointやExcelも影響を受けることになる。
ただし,PowerPointやExcelでは,仕込まれたコードが実行される前に,ユーザーに対して実行するかどうかをたずねてくる。そこで,実行しないようダイアログ・ボックスを選択すれば,被害を受けることはない。そのため,IEやOutlook Express,Entourageでは,セキュリティ・ホールの深刻度が「高」であるのに対して,Power PointやExcelでは「低」に設定されている。
今回のセキュリティ・ホールを悪用したウイルス(ワーム)が出現する恐れもある。対象ユーザーは早急にパッチを適用したい。パッチが公開されていない製品についても,公開され次第適用しよう。
なお,上記以外のセキュリティ・ホールも同時に公開されている。Apple Scripts に関するセキュリティ・ホールである。悪用されると,ユーザーの許可なしにパソコン内の任意のプログラムを実行される恐れがある。影響を受けるのは,「Microsoft Internet Explorer 5.1 for Macintosh OS 8 & 9」だけ。深刻度は「中」。
今回公開された(あるいは今後公開される)パッチは“累積パッチ”なので,2つの新しいセキュリティ・ホールだけではなく,過去に見つかったホールもふさげるという。
◎参考資料
◆MS02-019 に関する情報 (要約情報)
◆Unchecked Buffer in Internet Explorer and Office for Mac Can Cause Code to Execute (Q321309)
