マイクロソフトは9月9日,8月21日に公開したInternet Explorer(IE)のセキュリティ・ホールを解消するパッチに問題があることを明らかにした(関連記事)。同パッチで解消できるとしていたセキュリティ・ホールの1つが,パッチを適用しても解消されない。問題を修正したパッチが公開されるまでは,信頼できるサイト以外ではActiveXコントロールを無効にする必要がある。
解消できないセキュリティ・ホールは,「オブジェクト タグの脆弱性」と呼ばれる,深刻度が「緊急」の危険なセキュリティ・ホールである。細工が施されたWebページやHTMLメールを閲覧すると,任意のコードを実行させられる恐れがある。
現在,同社は問題を調査中で,問題を修正したパッチを公開する予定である。新しいパッチが公開されるまでは,IEユーザーは設定を変更して,セキュリティ・ホールの影響を回避する必要がある。
具体的には,「インターネットオプション」メニューの「セキュリティ」タブで表示される「レベルのカスタマイズ」から,「ActiveXコントロールとプラグインの実行」を「無効にする」に設定する。「Windows Update」サイトのように,信頼できて,かつ,ActiveXコントロールを有効にしないと利用できないサイトは「信頼済みサイト」に登録する。「信頼済みサイト」への登録方法は,マイクロソフトが公開する「よく寄せられる質問」に詳しい。
「よく寄せられる質問」に記載されているように,「ActiveXコントロールとプラグインの実行」を「ダイアログを表示する」に設定する方法もある。信頼できるサイトにおいてのみ,表示されたダイアログに対して「はい」をクリックする。とはいえ,万全を期するなら「無効にする」に設定するべきだ。もちろん,他のブラウザに乗り換えるのも回避策となる。
今回は,一度解消されたとするセキュリティ・ホールが「実はふさがっていなかった」ということで,各メディアで取り上げられているが,存在が確認されていながら,パッチが公開されていないIEのセキュリティ・ホールは複数ある。パッチが未公開のIEのセキュリティ・ホールをまとめている「Pivx Solutions」のページによると,8月26日時点で22個存在するという。
【9月12日追記】「Pivx Solutions」のページによると,9月11日時点で31個存在するという。【以上,9月12日追記】
IEを使用する場合には,以前IT Proで紹介した「お勧め設定」を参考に,できるだけセキュアな設定にするべきだ。他のブラウザに乗り換えたり,他のブラウザと併用したりすることも対策となる。
なお,今回問題になった「MS03-032」のパッチには,適用するとASP .NET 1.0のプログラムが動作しなくなる問題も見つかっているので注意が必要である(関連記事)。こちらについては,問題を解決するためのバッチ・ファイルが公開されている。
◎参考文献
◆Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)
◆よく寄せられる質問 : マイクロソフトセキュリティ情報(MS03-032)
(勝村 幸博=IT Pro)
