マイクロソフトは,このほどWindows Server 2003に適用する初めてのセキュリティ・パッチの提供を開始した。このパッチは,Internet Explorer(IE)6.0/5.5/5.01に関するもので,Windows 2003のIE 6.0も対象になっている。
今回の問題は2つあり,eEye Digital Securityが発見した。1つ目の問題はバッファ・オーバーフロー状態が起きることが原因。2つ目はHTMLオブジェクト・タグに基づいてIEがオブジェクト・タイプを決める方法に欠陥があることが原因である。いずれの問題でも攻撃者はユーザーのシステムで任意のコードを実行できる。
マイクロソフトは,セキュリティ情報「Internet Explorer用の累積的な修正プログラム(818529)(MS03-020)」を公開して上記2つの問題に対処している。この問題のパッチは,IE 6.0/5.5/5.01のこれまでのセキュリティ・ホールも修正する。
マイクロソフトは前述した2つの問題を基本的に最高度の危険度である「緊急」に分類しているが,Windows 2003のIE 6.0に関しては3番目の危険度である「警告」にした。同OSではIEのセキュリティの設定を強化しているためという。例えば,スクリプトやActive Xコントロール,マイクロソフト製Java仮想マシンの実行が不可能になっているほか,一定のタイプのHTMLコンテンツやファイルのダウンロードなどが制限されている。
ただし,ユーザーがこの強化されたセキュリティ設定を緩めているときには,「緊急」のレベルだと考えるべきである。例えば,ターミナル・サーバーとして使うときには,この構成を緩めることが多いだろう。
累積的なパッチについては,疑問を感じるユーザーもいる。新しい問題に対処したいだけなのに古い問題に対するパッチもいっしょにインストールするためである。手軽な半面,管理者がパッチを厳選してインストールしていても,新しい問題に対処するときそれを台無しにする可能性がある。累積的なパッチによって意図せずインストールされた古いパッチがシステムの安定性を損なうこともある。さらに古いパッチに混ぜて新しいものを適用する方法しか提供されないと,ぜい弱性の追跡が曖昧になりがちである。
この議論にはある程度意味がある。例えば,1年ぐらい後にセキュリティ情報を見たとしても「Internet Explorer用の累積的な修正プログラム」というタイトルからはほとんど情報が得られない。新しいセキュリティ・ホールは存在せずに単に自分がこれまでインストールしてきたパッチを集めたものがあるだけだと思う可能性もある。その結果,ユーザーがこのパッチを適用せずに,この「緊急」のセキュリティ・ホールが放置されたままになるかもしれない。
