米Microsoft社は2002年5月15日(米国時間),Internet Explorer(IE)の新しいセキュリティ・パッチを提供し始めた(MS02-023)。今回対策した新規のセキュリティ・ホールは大きく五つある。
(1)IEに含まれるHTMLファイルがクロスサイト・スクリプティングぜい弱性を抱え,悪意あるスクリプトでローカルをアクセスできる(スクリプトがIEのマイコンピュータ・ゾーン設定で動く)。
(2)CSS(Cascading Style Sheets)に関連したオブジェクトがぜい弱性を抱え,これを悪用してローカル・ファイルを読み出せる。
(3)スクリプト機構の実装にぜい弱性があり,スクリプト情報が書き込まれたCookieを使うことで,あるWebサイトが別のサイトで利用しているCookie情報を読み出せる。
(4)インターネット・ゾーンに設定したWebページを,イントラネットや信頼されたゾーンのセキュリティ設定でアクセスできる。
(5)ファイルをダウンロードする処理に問題があり,HTMLヘッダのContent-Typeを変更することで,ファイルを自動実行させることができる。
このうち,(5)は2002年3月18日にラックの新井悠氏が公開したホールである。
いずれも深刻なホールだ。現在,パッチは日本語サイトでも公開されている。Windows Updateなどを活用し,即刻適用する必要がある。