.

NEWS

IEなどのXMLHTTPコントロールに関するセキュリティ問題の修正プログラムが公開

「MSXML」の各バージョン用の修正プログラムをダウンロード可能

（02/04/02）

　マイクロソフト（株）は2日、IE 6などに搭載されている「Microsoft XML Core Services（MSXML）」にセキュリティ上の脆弱性があり、ローカルファイルを読み取られる危険性があるとされる問題で、この問題を修正するための修正プログラムを公開した。「MSXML」は、Windows XPや「Internet Explorer」v6、「Microsoft SQL Server 2000」に同梱されているため、同社ではこれらの製品を利用しているユーザーは直ちに修正プログラムを適用するよう推奨している。

　この問題は、「MSXML」の“XMLHTTP”と呼ばれるコンポーネントが、「Internet Explorer」のセキュリティゾーン設定に基づいた動作をしないために、悪意あるWebサイトを閲覧しただけでユーザーのローカルファイルを読み取られてしまう危険性があるというもの。

　同社によると、「MSXML」はWindows XP、「Internet Explorer」v6、「Microsoft SQL Server 2000」にあらかじめ同梱されているほか、市販のアプリケーションのセットアップ時に自動的にインストールされることもあるとのこと。自分の環境に「MSXML」がインストールされているか確認する最善の方法は、Widowsのシステムディレクトリに「MSXML」の関連ファイルがあるか確認することだという。

　具体的には“C:\Windows\system32\”または“C:\Winnt\system32\”に、“MSXML2.DLL”というファイルがあれば「MSXML」v2.6が、“MSXML3.DLL”というファイルがあれば「MSXML」v3.0が、“MSXML4.DLL”というファイルがあれば「MSXML」v4.0がインストールされていることになる。修正プログラムは「MSXML」のバージョンごとに別々のファイルで公開されており、複数のバージョンの「MSXML」がインストールされている場合は、それぞれ対応する修正プログラムを適用しておく必要がある。

□XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる(MS02-008)
http://www.microsoft.com/japan/technet/security/bulletin/ms02-008.asp

（新城 雅章）