米Microsoft社は2002年5月15日(米国時間),Internet Explorer(IE)の新しいセキュリティ・パッチを提供し始めた(MS02-023)。今回対策した新規のセキュリティ・ホールは大きく五つある。

 (1)IEに含まれるHTMLファイルがクロスサイト・スクリプティングぜい弱性を抱え,悪意あるスクリプトでローカルをアクセスできる(スクリプトがIEのマイコンピュータ・ゾーン設定で動く)。

 (2)CSS(Cascading Style Sheets)に関連したオブジェクトがぜい弱性を抱え,これを悪用してローカル・ファイルを読み出せる。

 (3)スクリプト機構の実装にぜい弱性があり,スクリプト情報が書き込まれたCookieを使うことで,あるWebサイトが別のサイトで利用しているCookie情報を読み出せる。

 (4)インターネット・ゾーンに設定したWebページを,イントラネットや信頼されたゾーンのセキュリティ設定でアクセスできる。

 (5)ファイルをダウンロードする処理に問題があり,HTMLヘッダのContent-Typeを変更することで,ファイルを自動実行させることができる。

 このうち,(5)は2002年3月18日にラックの新井悠氏が公開したホールである。

 いずれも深刻なホールだ。現在,パッチは日本語サイトでも公開されている。Windows Updateなどを活用し,即刻適用する必要がある。

(中道 理=日経バイト)