.
IE v5.5 SP 2/6/6 SP1用の累積的修正プログラムの12月4日版がリリース
クロス・ドメインの脆弱性に起因する1つのセキュリティ問題が修正される
(02/12/05)
【20:00更新】
マイクロソフト(株)は5日、「Internet Explorer」(以下、IE)のセキュリティ問題を修正する「Inernet Explorer用の累積的な修正プログラム」の2002年12月4日版を公開した。対象となるのはIEのv5.5 SP 2/6/6 SP1の各バージョンで、現在同社のWebサイトや“Windows Update”機能を使って無償でダウンロードできる。
今回公開された修正プログラムでは、2002年11月20日版の累積的修正プログラムの修正内容に加え、同社がセキュリティレベルを“警告”レベルに定義したクロス・ドメインの脆弱性に起因する1つのセキュリティ問題が修正される。この脆弱性を悪意あるユーザーに悪用されると、ローカルファイルを他者に読みとられてしまったり、ローカルパソコンに存在する任意のプログラムを実行されてしまう危険性があるとのこと。IEのv5.01はこの問題の影響を受けないとのことだが、IEのv5.5 SP 2/6/6 SP1を現在使用しているユーザーは速やかに修正プログラムを適用したほうがよいだろう。
また、本件とは別問題だが、「Outlook 2002」で発生するサービス拒否の脆弱性に対する修正プログラムも同日に公開された。POP3、IMAP、WebDAVのメールサーバーから不正なメールヘッダーを含むメールを同ソフトを使って受信しようとすると、同ソフトが異常終了してしまう不具合で、そのメールをメールサーバーから削除するまでは同ソフトが異常終了する問題が続くという。「Outlook 2002」のユーザーは、IEの累積的修正プログラムとともに、同ソフト用の修正プログラムの適用も忘れずに行うことをおすすめする。
□Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-068.asp?frame=true
□電子メール ヘッダー処理の問題により、Outlook 2002 が異常終了する (331866) (MS02-067)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-067.asp?frame=true
□窓の杜 - 【NEWS】IEの新たなセキュリティ問題を修正する累積的修正プログラムの11月20日版
http://www.forest.impress.co.jp/article/2002/11/21/iepatch.html
(竹元 克己)