マイクロソフトは8月23日，Internet Explorer（IE）5.01/5.5/6で見つかった6種類のセキュリティ・ホールをふさぐパッチを公開した。最も深刻なセキュリティ・ホールを悪用されると，ユーザーのパソコン上で任意のコマンドを実行される恐れがあるので，Windowsユーザーは早急にパッチを適用したい。「Windows Update」を実行すれば適用できる。なお，今回公開されたパッチは，既に公開されている「MS02-023」のパッチを含む，累積パッチである。

　新たに公開されたパッチがふさぐのは，以下のセキュリティ・ホールである。

1. Gopherプロトコルの解釈が原因の，バッファ・オーバーフローのセキュリティ・ホール
2. ある特定形式のテキストを表示する際に使用されるActiveXコントロールが原因の，バッファ・オーバーフローのセキュリティ・ホール
3. XMLデータを表示する「HTMLディレクティブ」の処理が原因の，ローカル・ファイルを読み取られるセキュリティ・ホール
4. 「ファイルのダウンロード」ダイアログ・ボックスの表示が原因の，悪意があるファイルをダウンロードさせられるセキュリティ・ホール
5. 「フレームのドメイン照合」 が原因の，ローカル・ファイルを勝手に実行されるセキュリティ・ホール
6. 「ローカルHTMLリソースのクロスサイト・スクリプティング」 が原因の，悪意があるスクリプトをローカル・コンピュータ・ゾーンで実行させられるセキュリティ・ホール

　このうち，1，2 および5の最大深刻度は「高」，3，4，6の最大深刻度は「中」である。

　1 については，「MS02-027」で既に公開されているセキュリティ・ホールで，設定変更による回避方法も公開されている。今回のパッチを適用すれば，設定変更をしなくても回避できる（関連記事）。

　5 は「MS02-005」で公開された「フレームのドメイン照合のぜい弱性」の“変種”，6 は「MS02-023」で公開された「ローカルHTMLリソースのクロスサイト・スクリプティングのぜい弱性」の“変種”であるという。

　パッチはマイクロソフトの「セキュリティ情報」のページからダウンロードできる。併せて，Windows Updateサイトでも公開されているので，Windows Updateを実行すれば適用できる。

　パッチの適用対象は，IE 5.01，IE 5.5 SP1，IE 5.5 SP2 および IE 6。ただし，IE 5.01 用のパッチは，Windows 2000 SP2/SP3環境にしか適用できない。

　今回のパッチには，上記6種類のセキュリティ・ホールに対する修正だけではなく，過去に公開された「MS02-023」のパッチも含まれている。MS02-023自身も，過去に公開されたIEのパッチを含む“累積パッチ”なので，今回のパッチを適用すれば，今までに公開されたIEのパッチを一度に適用できる。

◎参考資料
◆「MS02-047: Internet Explorer 用の累積的な修正プログラム (Q323759)」に関する要約情報（マイクロソフト）
◆MS02-047: Cumulative Patch for Internet Explorer (Q323759)（米Microsoft）

（勝村　幸博＝IT Pro）