【セキュリティ】
~修正パッチは、累積的修正プログラム「MS03-020」として提供されるIE5.01~6に任意のコードが実行できる、深刻度“緊急”の2種類の脆弱性■URL
マイクロソフト株式会社は5日、「Internet Explorer(IE)5.01/5.5/6/6 for Windows Server 2003」に2種類のセキュリティホールがあると発表し、これらの修正プログラムを含むIEの累積的修正プログラム「MS03-020」の提供を開始した。 この「MS03-020」には、IE 5.01~6用に過去リリースされたすべての修正プログラムと新たに発見された2つの脆弱性を修正するプログラムが含まれている。新たに発見されたプログラムは、「オブジェクト タグの脆弱性」と「ファイルのダウンロードダイアログの脆弱性」の2つ。どちらの脆弱性も、IE 5.01~6では深刻度“緊急”、IE 6 for Windows Server 2003では“高”に設定されている。 「オブジェクト タグの脆弱性」は、IEがWebサーバーから返されるオブジェクトの種類を適切に判断しないために発生するバッファオーバーランの脆弱性。攻撃者がこの脆弱性を悪用すると、任意のコードを実行することができる。また、ユーザーが攻撃者の悪意のあるコードが埋め込まれたWebサイトを訪問した場合、ユーザーがWeb上で操作しなくても、この脆弱性を悪用される恐れがある。また、この脆弱性を利用したHTMLメール形式のウイルス作成なども可能だという。 「ファイルのダウンロードダイアログの脆弱性」は、ファイルのダウンロードダイアログボックスで、IEが適切な遮断を行なわないために起こる問題。この脆弱性でも「オブジェクト タグの脆弱性」と同様に、任意のコードが実行される可能性や、ユーザーがWebサイト上で脆弱性を悪用される可能性がある。 ただし、攻撃者がこの脆弱性を悪用するためには、HTML形式のメールを作成し、ユーザーに送信することや、この脆弱性を悪用できるように作成したWebサイトにユーザーを誘導する必要がある。 これらのセキュリティホールを解決するためには、IEの累積的修正プログラム(MS03-020)を適用すればよい。累積的修正プログラムは、同社Webサイト上からダウンロードできるほか、Windows Updateからも入手可能となっている。また、この累積的修正プログラムは、アンインストールすることができる。 ◎関連記事 (2003/6/5) [Reported by otsu-j@impress.co.jp] |
|