SPを当て、アクティブスクリプトを無効に

Internet Explorerに新たに9つのセキュリティーホール
～GreyMagicが報告

■URL
http://sec.greymagic.com/adv/gm012-ie/
http://www.microsoft.com/downloads/release.asp?ReleaseID=32082 (IE5.5 SP2)
http://www.microsoft.com/downloads/release.asp?releaseid=42931&area=new&ordinal=1 (IE6 SP1)

　イスラエルのGreyMagic Softwareは22日、Microsoftの「Internet Explorer」に新たに9つのセキュリティーホールを発見したことを報告し、対処方法を明らかにした。日本時間の23日には、22日に発表していたアドバイザリーを改訂し、IE5.5 SP2とIE6のセキュリティーホールの危険性について指摘、警告している。

　これら9つのセキュリティーホールは、IEが複数のウィンドウを開いているときにキャッシュを扱う方法に関連している。最悪の場合、Webページを開くことによりコンピュータが完全にコントロールされる事態になってしまう。

　GreyMagicによると、このセキュリティーホールはIE5.5と6.0に存在している。それ以前のバージョンでは、IE5の場合「Service Pack 2」(SP2)をインストールすることによって9つのセキュリティーホールすべてを塞ぐことができる。IE6については、SP1をインストールすることで9つのセキュリティーホールのうち7つを塞ぐことができるが、2つのセキュリティーホールはそれでも塞げない。また、IE5.5 SP2とIE6には9つのセキュリティーホール全てが存在しており、何らかの対策が必要である。この場合、Microsoftがパッチを発表するまでの間セキュリティーホールを悪用されないために「アクティブスクリプト」をオフにすることをGreyMagicでは推奨している。

　対処方法としては、IEの「インターネットオプション」から「セキュリティ」タブを選び、「レベルのカスタマイズ」から「スクリプト」項目の中の「アクティブスクリプト」を「無効」にすればよい。また、タブブラウザーを使用することで一時的にスクリプト機能を無効にすることも有効な方法だろう。

　なお、IEを使用している他のアプリケーション、例えばOutlook、Outlook Express、AOL Browser、MSN Explorerなどの利用者もすべてこのセキュリティーホールに留意する必要がある。

　GreyMagicはこのセキュリティーホールを実演するためのページを用意しており、このページを利用することにより自分のブラウザー環境が安全かどうか確認できる。

(2002/10/23)

[Reported by 青木 大我 (taiga@scientist.com)]