マイクロソフトは8月23日,Internet Explorer(IE)5.01/5.5/6で見つかった6種類のセキュリティ・ホールをふさぐパッチを公開した。最も深刻なセキュリティ・ホールを悪用されると,ユーザーのパソコン上で任意のコマンドを実行される恐れがあるので,Windowsユーザーは早急にパッチを適用したい。「Windows Update」を実行すれば適用できる。なお,今回公開されたパッチは,既に公開されている「MS02-023」のパッチを含む,累積パッチである。

 新たに公開されたパッチがふさぐのは,以下のセキュリティ・ホールである。

  1. Gopherプロトコルの解釈が原因の,バッファ・オーバーフローのセキュリティ・ホール
  2. ある特定形式のテキストを表示する際に使用されるActiveXコントロールが原因の,バッファ・オーバーフローのセキュリティ・ホール
  3. XMLデータを表示する「HTMLディレクティブ」の処理が原因の,ローカル・ファイルを読み取られるセキュリティ・ホール
  4. 「ファイルのダウンロード」ダイアログ・ボックスの表示が原因の,悪意があるファイルをダウンロードさせられるセキュリティ・ホール
  5. 「フレームのドメイン照合」 が原因の,ローカル・ファイルを勝手に実行されるセキュリティ・ホール
  6. 「ローカルHTMLリソースのクロスサイト・スクリプティング」 が原因の,悪意があるスクリプトをローカル・コンピュータ・ゾーンで実行させられるセキュリティ・ホール

 このうち,1,2 および5の最大深刻度は「高」,3,4,6の最大深刻度は「中」である。

 1 については,「MS02-027」で既に公開されているセキュリティ・ホールで,設定変更による回避方法も公開されている。今回のパッチを適用すれば,設定変更をしなくても回避できる(関連記事)。

 5 は「MS02-005」で公開された「フレームのドメイン照合のぜい弱性」の“変種”,6 は「MS02-023」で公開された「ローカルHTMLリソースのクロスサイト・スクリプティングのぜい弱性」の“変種”であるという。

 パッチはマイクロソフトの「セキュリティ情報」のページからダウンロードできる。併せて,Windows Updateサイトでも公開されているので,Windows Updateを実行すれば適用できる。

 パッチの適用対象は,IE 5.01,IE 5.5 SP1,IE 5.5 SP2 および IE 6。ただし,IE 5.01 用のパッチは,Windows 2000 SP2/SP3環境にしか適用できない。

 今回のパッチには,上記6種類のセキュリティ・ホールに対する修正だけではなく,過去に公開された「MS02-023」のパッチも含まれている。MS02-023自身も,過去に公開されたIEのパッチを含む“累積パッチ”なので,今回のパッチを適用すれば,今までに公開されたIEのパッチを一度に適用できる。

◎参考資料
「MS02-047: Internet Explorer 用の累積的な修正プログラム (Q323759)」に関する要約情報(マイクロソフト)
MS02-047: Cumulative Patch for Internet Explorer (Q323759)(米Microsoft)

(勝村 幸博=IT Pro)