【インターネット関連】
「Internet Explorer 4.0x」のJScriptにセキュリティホール
米Microsoftが各国語用の修正プログラムをリリース
(98/08/19)
米Microsoftは17日(現地時間)、「Internet Explorer 4.0x」のJScriptにセキュリティ上の問題があることを明らかにした。JScriptはJavaScriptとも互換性のある、独自のスクリプト言語。Microsoftは各国語用の修正されたJScriptエンジンを公開し、ユーザーにアップデートを呼びかけている。
この問題は、JScriptの関数である[Window.External]を非常に長い文字列を与えて使用すると、起動している「Internet Explorer」をクラッシュさせるうえ、文字列中に含まれた悪意あるコードを実行できてしまうというもの。Webページ上にこのスクリプトが埋め込まれた場合、そのページを閲覧したユーザーに直接被害が出ることになる。
この問題を抱えているのは、Windows 95/NT 4.0用の「Internet Explorer」v4.0/4.01/4.01 SP1の各バージョンと、Windows 98に搭載されているJScript実行エンジン「Scripting Engine」v3.1。Microsoftは「Scripting Engine」v3.1bへの各国語用のアップデートプログラムを公開し、v3.1bにアップデートすることを推奨している。なお、MicrosoftではWindows 98に実装された「Windows Update」でもアップデートが可能としているが、Windows 98日本語版の「Windows Update」サイトには19日現在該当するアップデート用ファイルは用意されていない。
この問題は、「Internet Explorer」のセキュリティゾーンのカスタム設定で[アクティブスクリプト]の項目を無効にしておくことで一時的に回避することが可能だ。まだ修正版を入手していない人は、ひとまず無効に設定しておくことをおすすめしたい。
なお「窓の杜」では、より快適なダウンロード環境を提供するためにWebページの一部にJavaScriptを使用しているが、[Window.External]関数は使用していないため、「窓の杜」のサイト上でこの問題が生じることはない。また、[アクティブスクリプト]を無効に設定していても、特に支障なくソフトをダウンロードすることが可能であることをお知らせしておく。
□米Microsoft(英語)
http://www.microsoft.com/
□この問題に関するリリース(英語)
http://www.microsoft.com/security/bulletins/ms98-011.htm
□日本語版修正プログラム(英語)
http://www.microsoft.com/msdownload/vbscript/scripting.asp?msid=29446&plat=x86&lang=Japanese
□窓の杜「JavaScriptが使えなくてもダウンロードできる方法を用意いたしました」
http://www.forest.impress.co.jp/announce/19980326.html
[Reported by dome@impress.co.jp]
トップページへ
