マイクロソフトは7月31日,Internet Explorer(IE)のセキュリティ・ホール情報と修正パッチを公開した(関連記事)。今回公開されたのは,細工が施されたWebページやHTMLメールを閲覧するだけで任意のプログラムを実行させられる危険なセキュリティ・ホールである。第三者によって既に公開されており,セキュリティ・ホールを悪用するWebサイトも存在する。Windows Updateを実施するなどして,早急に対策を施したい。
今回マイクロソフトが公開したIEのセキュリティ・ホールは以下の3種類。
(1)ナビゲーション メソッドのクロス ドメインの脆弱性
(2)不正な BMP ファイルのバッファ オーバーランの脆弱性
(3)不正な GIF ファイルのダブル フリーの脆弱性
これらのセキュリティ・ホールは,いずれもマイクロソフト以外のベンダーあるいはユーザーから既に公開されている。このためセキュリティ情報には,セキュリティ・ホールの報告者に対する「謝辞」は記述されていない。セキュリティ・ホールを突く方法も公開されており,これらを悪用するWebサイトなども既に出現している。
そこでマイクロソフトでは,7月31日は“月例”のセキュリティ情報公開日(米国時間の毎月第2火曜日)ではないものの,セキュリティ情報とパッチを公開した。「既に被害が出ているセキュリティ・ホールについては,パッチが完成次第公開する」(マイクロソフト広報)
(1)の「ナビゲーション メソッドのクロス ドメインの脆弱性」は,6月以降出回っている「Download.Ject」が悪用するセキュリティ・ホールである(関連記事)。マイクロソフトでは,Windowsの設定を変更してDownload.Jectを防ぐプログラムを7月3日に公開している(関連記事)。
しかしながら,このプログラムは設定を変更するだけで,セキュリティ・ホールをふさぐものではない。このため,このプログラムを適用していても,セキュリティ・ホールを突かれる可能性があった(関連記事)。今回公開されたパッチを適用すれば,Download.Jectが突くセキュリティ・ホールをふさげる。
(1)だけではなく,(2)と(3)についても,悪用するWebサイトは存在する。ユーザーは早急にパッチを適用したい。Windows Updateから適用できるとともに,セキュリティ情報のページからもダウンロードできる(ただし,Windows 98/98SE/Me用のパッチは,Windows Updateからのみ適用可能)。
すぐにパッチを適用できない環境では,回避策を施したい。回避策はセキュリティ情報に詳しい。
◎参考資料
◆Internet Explorer 用の累積的なセキュリティ更新プログラム (867801) (MS04-025)
◆マイクロソフト セキュリティ情報 (MS04-025) : よく寄せられる質問
(勝村 幸博=IT Pro)
