マイクロソフトは、Internet Explorer(IE)用の「セキュリティ以外の更新プログラム」である「KB912945」について記述したセキュリティアドバイザリ(912945)を30日付で更新した。KB912945はこれまでオプション扱いで配布されていたが、次回のIE用「セキュリティ更新プログラム」に含まれる予定であることを明らかにした。
KB912945は、IEにおけるActiveXコントロールの処理方法を変更するプログラムだ。これを適用すると、一部のWebページでは、ActiveXコントロールを有効にするためにクリックや、TABまたはENTERキーなどの手動操作が必要になるという。IEがプラグイン技術関連の特許を侵害したとして、米Microsoftが米Eolas Technologiesから訴えられている裁判に関連して、IEの仕様を変更するために用意されたものだ。変更内容などについては、Microsoft Security Response Centerの公式ブログでも言及している。
このような背景があり、KB912945は「セキュリティ以外の更新プログラム」という位置付けであり、まず1月9日(米国時間)にMSDNの購読者向けにリリース、追って2月9日(同)にはMSDNで公式に利用可能になった。さらに2月28日(同)に、Windows Updateにおいても「推奨される更新プログラム」という扱いで配布されるようになった。
今回更新されたセキュリティアドバイザリ(912945)では、KB912945が、次回のIE用の累積的なセキュリティ更新プログラム(パッチ)に含まれると説明している。このパッチには、すでにセキュリティベンダー各社をはじめマイクロソフトでも警告しているIEの「createTextRange()」メソッドの処理に関する深刻な脆弱性の修正も含まれるという。これまでオプション扱いだったKB912945も事実上、適用が必須となるかたちになる。このパッチは、日本時間の4月12日にリリースする月例パッチの1つとして、またはそれ以前に緊急リリースする予定だとしている。
ただし、ActiveXコントロールの処理方法を変更するという性質上、対応に時間を要する企業向けに、互換性維持のための更新プログラム「Compatibility Update」を同時に用意する。Compatibility Updateを適用することで、ActiveXコントロールの処理方法について一時的にIEの機能性が元の状態に戻され、新たなIE用セキュリティパッチがリリースされるまで機能するという。
関連情報
■URL
マイクロソフトセキュリティアドバイザリ(912945)
http://www.microsoft.com/japan/technet/security/advisory/912945.mspx
マイクロソフトセキュリティアドバイザリ(917077)
http://www.microsoft.com/japan/technet/security/advisory/917077.mspx
「Microsoft Security Response Center Blog!」の該当記事(英文)
http://blogs.technet.com/msrc/archive/2006/03/29/423560.aspx
■関連記事
・ マイクロソフト、IE用に「セキュリティ以外の更新プログラム」(2006/03/01)
・ IEの脆弱性を修正するパッチが開発完了、緊急公開も視野(2006/03/29)
( 永沢 茂 )
2006/03/31 18:03
- ページの先頭へ-
|