■URL
http://www.microsoft.com/ie/security/?/ie/security/buffer.htm
Windows 95版の「Internet Explorer 4.0」に新たなセキュリティホールが発見された。Microsoft社では、これを「Buffer Overrun」と呼んでおり、英語版の修正パッチをすでに公開している。
Buffer Overrunは、256文字以上のURLを受け付けないというIE 4.0の仕様をついたもの。普段利用する「http://」や「ftp://」の代わりに「res://」を用い、257文字目以降に実行コードを記述することで、アクセスした側のローカルマシンやネットワークで繋がっているマシンのハードディスクにアクセスしたりできるという。
なお、今回リリースされたパッチは、先月発見されている「Freiburg」と呼ばれるバグ(本誌10月20日号参照)にも対応している。また、マイクロソフト株式会社では、遅くとも今週中には日本語版の修正パッチを公開したいとしている。
('97/11/12)
[Reported by yuno@impress.co.jp / Hiroyuki Et-OH]