マイクロソフトは10月4日,Internet Explorer(IE)5.01以降に見つかった「緊急」のセキュリティ・ホールを公開した。細工が施されたWebページにアクセスするだけで,ウイルスをはじめとする任意のプログラム(コード)を実行させられる恐れがある。そのようなサイトのURLがHTMLメールに仕込まれている場合には,HTMLメールを開くだけで同様の被害を受ける可能性もある。

 対策はパッチを適用すること。Windows Updateおよびセキュリティ情報のページから適用できる。今回公開されたパッチは,IEに関する累積パッチ。過去のパッチではふさげなかった特定のセキュリティ・ホールも修正できる(関連記事)。

 今回のセキュリティ・ホールは,Webサイトへアクセスした際にWebサーバーから送られてくるHTTPレスポンス中のパラメータを,IEが適切にチェックしないことが原因である。このため,本来はダウンロードおよび実行してはいけないコンテンツ(プログラム)を,安全なコンテンツ(画像やHTMLファイル)だと誤認して,勝手にダウンロードおよび実行してしまう恐れがある。

 つまり,細工が施されたWebページにアクセスするだけで,ユーザーに許可を求めることなく,任意のプログラムを実行させられる恐れがある。HTMLメール中にそのようなページのURLが仕込まれていると,HTMLメールを読むだけでそのようなWebページに誘導されて被害を受ける可能性がある。

 対策はパッチを適用すること。「Windows Update」にアクセスすれば適用できる。セキュリティ情報のページからもダウンロードできる。パッチは,IE 5.5 SP2,IE 6/IE 6 SP1,および Windows 2000 SP3/SP4 で稼働するIE 5.01 に適用できる。

 今回のパッチは,今までに公開されたIE用のパッチをすべて含む“累積パッチ”である。加えて,8月21日に公開されたセキュリティ・ホールの一つである「オブジェクト タグの脆弱性」も修正できる。このセキュリティ・ホールは,8月21日に公開した「MS03-032」のパッチで修正できるとしていたが,実際には修正できないことが明らかとなっている(関連記事)。

 今回公開されたセキュリティ・ホールは,「オブジェクト タグの脆弱性」に酷似しているが,マイクロソフトが公開する「MS03-032」の情報では,「マイクロソフトはこれらの報告を調査しこれらの問題の修正プログラムとともに,新しいセキュリティ情報を公開しました。これらの問題は,セキュリティ情報 MS03-040に含まれます」としているので,別物だと考えられる(ここで,「これらの問題」とは,「MS03-032」のパッチで「オブジェクト タグの脆弱性」を修正できないということと,「MS03-032」のパッチを適用すると,ASP .NET 1.0のプログラムが動作しなくなることを指す)。

 なお,過去に公開されたIEの累積パッチ同様,今回のパッチを適用すると,HTMLヘルプ機能のいくつかを使用できなくなる。「マイクロソフト サポート技術情報 811630」に記載されているように,Windows Updateから「811630 : 重要な更新」を適用すれば,パッチ適用後も HTMLヘルプ機能を使用できる。

 同日,マイクロソフトはWindows Media Playerに関する「マイクロソフト サポート技術情報 - 828026」も公開した。これはセキュリティ・パッチではないとしながらも,今回の「MS03-040」のパッチと同時にインストールすることを勧めている。同技術情報のページからダウンロードできる。この「Windows Media Player の更新」を適用すれば,Windows Media Playerから任意のWebページを開かされることを防げるという。「Windows Media Player の更新」は,Windows Updateからも適用できる。

【10月6日追記】マイクロソフトのセキュリティ情報では,「マイクロソフト サポート技術情報 - 828026」で紹介している「Windows Media Playerの更新」を「これはセキュリティ修正プログラムではありませんが」としているが,Windows Updateでは,「Windows Media Player 用セキュリティ問題の修正プログラム (KB828026)」と表示されるので注意が必要。【以上,10月6日追記】

◎参考資料
「Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040)」
「MS03-040 Cumulative Patch for Internet Explorer (828750)」(英語情報)
「絵でみるセキュリティ情報 MS03-040 : Internet Explorer の重要な更新」
「サポート技術情報 - 828026 Update for Windows Media Player Script Commands」(英語情報)

(勝村 幸博=IT Pro)