.

NEWS

IEの新たなセキュリティ問題を修正する累積的修正プログラムが公開

ラックが指摘するセキュリティ問題とは別の問題を修正

（02/03/29）

　マイクロソフト（株）は28日、「Inernet Explorer用の累積的な修正プログラム」の2002年3月28日版を公開した。対象となるのは「Internet Explorer」のv5.01 SP2/5.5 SP1/5.5 SP2/6の各バージョン。今回の修正プログラムでは新たに2つのセキュリティ問題が修正されるが、同社の広報部門によると、18日に（株）ラックが発表した“ファイルが自動的にダウンロードされ、なおかつ実行されてしまう問題”については修正対象に入っていないとのこと。

　今回公開された修正プログラムでは、2月11日版の累積的修正プログラムの修正内容に加え、新たに2つのセキュリティ問題が修正される。1つは、インターネットセキュリティーゾーンの判定を回避して、本来とは異なるセキュリティーレベルでスクリプトを実行できてしまうという問題。Cookieを悪用することで、インターネットゾーンのセキュリティレベルで実行されるはずのスクリプトが、ローカルコンピューターのセキュリティレベルで実行される可能性があるという。問題の対象となるのはIE 5.5とIE 6で、IE 5.01は対象外となっている。

　もう1つの問題は、OBJECTタグを使うことでユーザーのマシン上にある実行ファイルを起動できてしまうという問題。攻撃者が実行できるのはユーザーのマシン上にある実行ファイルのみで、攻撃者がファイルを実行する際にパラメーターを指定することはできない。米Microsoftでは、Windowsに標準インストールされているどのプログラムも、パラメーターなしで起動した場合にシステムに与える問題があるとは認識していないとの考えを示し、この問題のセキュリティレベルを“中”レベルに設定している。

　マイクロソフトの広報部門によると、今回公開された修正プログラムはラックが18日に指摘した“ファイルが自動的にダウンロードされ、なおかつ実行されてしまう問題”とは別の問題を修正するもので、この修正プログラムでラックが指摘した問題が修正されることはないという。ラックが指摘した問題については引き続き対応作業を続けているとのこと。

□MS02-015 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/ms02-015ov.asp
□窓の杜 - 【NEWS】IE 6に致命的なセキュリティホール
http://www.forest.impress.co.jp/article/2002/03/20/ie6securitybug.html

（新城 雅章）

---

お詫びと訂正： 記事掲載時に、今回公開された修正プログラムで（株）ラックが18日に指摘したセキュリティ問題が修正される旨の記述がございましたが、編集部の取材に応じたマイクロソフト（株）の広報担当者による誤認であることが判明いたしました。事実と異なる記述がありましたことを深くお詫び申し上げます。