Internet Watch logo
記事検索
最新ニュース

IEの累積パッチが公開、IEを利用していなくても影響を受ける


 マイクロソフトは12日、Internet Explorer(IE)に関する5種類の脆弱性「MS03-048」を発表し、累積的修正プログラムをリリースした。IEのすべてのバージョン(5.01〜6)が影響を受ける。マイクロソフトでは深刻度“緊急”と評価しており、これらの脆弱性を悪用して任意のコードが実行される可能性がある。また、これらの脆弱性はIEを利用していなくても、インストールしてあるだけで影響するため、普段IEを利用していないユーザーでもパッチを適用しなければならない。

 今回公開された脆弱性は以下の5種類。

1:ExecCommandのクロスドメインの脆弱性 (CAN-2003-0814)
2:関数ポインタ上書きのクロスドメインの脆弱性 (CAN-2003-0815)
3:スクリプトURLのクロスドメインの脆弱性 (CAN-2003-0816)
4:XMLオブジェクトの脆弱性 (CAN-2003-0817)
5:ドラッグアンドドロップの操作の脆弱性 (CAN-2003-0823)


 1〜3までの「クロスドメインの脆弱性」では、これを悪用することによって、WebサイトやHTMLメールを閲覧しただけで任意のコードが実行できるというもの。IE 5.01〜6では、深刻度“緊急”と評価されているが、IE 6 SP1 for Windows Server 2003では初期設定では影響を受けないため、深刻度は上から3番目の“警告”だ。

 なお、この脆弱性は、すでにExploitコードが公開されているため、これを利用したウイルスなどが出現する可能性がある。したがって、そのようなウイルスが出現する前に修正プログラムを適用しなければならない。

 4のXMLオブジェクトの脆弱性は、WebサイトやHTMLメールを閲覧しただけで、ファイルが読まれる可能性があるというもの。ただし、読み取られるだけなので、プログラムを実行される可能性はない。また、読み取り時にはダイアログウィンドウが表示されるため、気付く場合が多い。

 5のドラッグアンドドロップの操作の脆弱性は、WebサイトやHTMLメールに含まれているリンクをクリックしただけで、プログラムをPCに保存してしまうというもの。これも、保存するだけで実行はされないため、危険度は低い。これらから判断すると、1〜3までの脆弱性は非常に危険だが、4と5は比較的危険度が低い。

 これらの脆弱性を修正するためには、マイクロソフトが発表した累積的修正プログラム「MS03-048」を適用すればよい。同社Webサイトまたは、Windows Updateからダウンロードできる。MS03-048は累積的修正プログラムであるため、今までに公開されたIEに関するすべての修正プログラムを含む。


関連情報

URL
  Internet Explorer用累積的セキュリティプログラム(MS03-048)
  http://www.microsoft.com/japan/technet/security/bulletin/ms03-048.asp

関連記事
Windowsに任意のコードが実行される緊急の脆弱性など5種類を公開(2003/10/16)
Windows XP/2000にネットワークに接続しているだけで危険な脆弱性(2003/11/12)
WordとExcelにも任意のコードが実行される脆弱性(2003/11/12)


( 大津 心 )
2003/11/12 11:36

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.