.

NEWS

IE搭載のJava VMにセキュリティ問題

問題を修正した「Microsoft VM」の新バージョンが公開

（02/03/06）

　マイクロソフト（株）は5日、プロキシーサーバー経由でIEを利用する際に、IEに搭載されているJava VM「Microsoft VM」にセキュリティ上の問題があることを明らかにし、この問題を修正した「Microsoft VM」の新バージョンBuild 3805を公開した。問題の対象となるのはBuild 3802以前の全ての「Microsoft VM」。「Microsoft VM」は、Windows 98/Me/2000に標準でインストールされているほか、Windows 95/NT 4.0/XPでもIE 5.5などとともにインストールされる。同社ではこの問題の深刻度を“高”レベルに設定して警戒を呼びかけるとともに、プロキシーサーバーを利用している場合は直ちに「Microsoft VM」を新バージョンにアップデートするよう推奨している。

　この問題は、IEを使ってプロキシーサーバー経由でWebサーバーにアクセスした際に、IEが送信する情報を悪意ある人物に盗み見られたり破棄される可能性があるというもの。悪意あるJavaアプレットをユーザーのIE上で実行させることで、IEがプロキシーサーバー経由でWebサーバーに送信するさまざまな情報を、攻撃者の管理するシステムに転送できるようになるという。

　この問題は、プロキシーサーバー経由でアクセスしている場合にのみ発生するため、プロキシーサーバーの利用を中止することで回避することができる。企業や学校などのネットワークでプロキシーサーバーを経由しないとWebを閲覧できない場合は、IEのセキュリティ設定で“Javaを無効にする”を選択することでも回避できるとのこと。

　なお、「Microsoft VM」のバージョンは、スタートメニューの[検索]を利用して“MSJAVA.DLL”を検索し、ファイルのプロパティの“バージョン情報”タブで確認することができる。

□TechNet Online - Java アプレットがブラウザ トラフィックをリダイレクトする
http://www.microsoft.com/japan/technet/security/bulletin/MS02-013.asp
□MS02-013 に関する情報（要約情報）
http://www.microsoft.com/japan/technet/security/bulletin/MS02-013ov.asp
□Microsoft Virtual Machine for Internet Explorer（ダウンロードページ）
http://www.microsoft.com/java/vm/dl_vm40.htm

（新城 雅章）