情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は7月12日,Internet Explorer(IE)のコンポーネント(機能)を使う一部のアプリケーションにセキュリティ・ホールが見つかったことを公表した。Webページなどに含まれる危険なプログラム(スクリプト)を実行させられる可能性がある。影響が確認されているのは,ジャストシステムの「ネタの種」やユミルリンクの「紙copi/紙2001」など(7月12日現在)。対策は,各ベンダーが提供する修正版などを適用すること。
今回公表されたのは,IEに関するセキュリティ・ホールではない。IEのコンポーネントを利用するアプリケーションのセキュリティ・ホールである。
IEを利用するアプリケーションのいくつかは,「インターネットゾーン」のセキュリティ設定で表示すべきコンテンツ(例えば,インターネット上のサイトに置かれたWebページ)を,インターネットゾーンより制限が緩いセキュリティ設定(ローカルコンピュータ ゾーン)で開いてしまう。つまり,IEが備えるセキュリティ機能を回避させてしまう。これにより,Webコンテンツに含まれる,本来実行すべきではない危険なアクティブコンテンツ(ActiveXコントロールやスクリプト)を実行する可能性がある。
IPAとJPCERT/CCが共同運営する「JP Vendor Status Notes(JVN)」の情報によると,現時点(7月12日)で影響を受けることが確認されているのは,ジャストシステムの「ネタの種」およびユミルリンクの「紙copi/紙2001」。マナックスおよび日本標準の製品も影響を受けるとされている。また,富士通にも影響を受ける製品があり,現在調査中とされている。同情報は適宜更新されるので,IEを利用するアプリケーションを使っている場合にはチェックしたい。
【7月13日追記】当初,JVNの情報「富士通の JVN#257C6F28 への対応」には記載がなかったが,JVNの情報が公開された時点で,富士通は今回のセキュリティ・ホールに関係する同社製品の情報を公開していた。それによると,同社の「ひらがなナビィ」「翻訳サーフィン」「ATLAS翻訳パーソナル」「ATLAS」「ATLAS翻訳サーバ」「BizLingo」「らくらくブラウザ」「らくらくメール」「Japanist」――が影響を受けるという。いずれについても修正版や修正用モジュールなどが公開されているので,製品ユーザーは適宜アップデートしたい。【以上,7月13日追記】
対策は,各ベンダーが提供する修正版やパッチ(アップデート・モジュール)などをインストールすること。ジャストシステムとユミルリンクではパッチと修正版をそれぞれ公開している。
◎参考資料
◆JVN#257C6F28:Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性(JP Vendor Status Notes)
◆JVN#257C6F28:Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性(情報処理推進機構)
◆ネタの種の表示で利用するMicrosoft Internet Explorerコンポーネントにおけるセキュリティジーンの扱いに関する脆弱性(ジャストシステム)
◆「紙copi」「紙2001」の表示で利用するMicrosoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性(ユミルリンク)
(勝村 幸博=IT Pro)
