.

Release NEWS

IE v5.01 SP3/5.5 SP 2/6/6 SP1用の累積的修正プログラムの2月版がリリース

ダイアログボックスとHTMLヘルプに起因する2種類の脆弱性を修正できる

（03/02/06）

【18:00更新】

　マイクロソフト（株）は6日、「Internet Explorer」（以下、IE）のセキュリティ問題を修正する「Inernet Explorer用の累積的な修正プログラム」の2月版（2003年2月6日更新版）を公開した。対象となるのはIEのv5.01 SP3/5.5 SP 2/6/6 SP1の各バージョンで、現在同社のセキュリティ情報公開サイト“TechNet”から各バージョン用の修正プログラムを無償でダウンロードできる。また、“Windows Update”機能を利用してダウンロードすることも可能。

　今回公開された修正プログラムでは、2002年12月4日更新版の累積的修正プログラムの修正内容に加え、同社がセキュリティレベルを“緊急”レベルに定義したクロス・ドメインの脆弱性に関連する2つのセキュリティ問題が修正される。1つはWebサイトを訪問したユーザーへ何らかのメッセージを表示するダイアログボックスに起因する脆弱性、もう1つはヘルプコンテンツを含むHTMLページを表示するためのコマンド“window.showHelp( )”に起因する脆弱性で、これら2種類のセキュリティ問題を悪用したWebサイトにユーザーがアクセスすると、ユーザーのパソコン上で任意のコマンドを実行されてしまったり、ユーザーのパソコン上に存在するファイルを他者に読み取られてしまう危険性があるとのこと。IEのv5.01 SP3/5.5 SP 2/6/6 SP1がインストールされているパソコンに修正プログラムを適用することで、これらのセキュリティ問題を修正することができる。

　ただし、今回の修正プログラムを適用すると、Webサイトで“window.showHelp( )”を使ってユーザーに提供されるタイプのHTMLヘルプが開けなくなる。このタイプのHTMLヘルプを再び利用可能にしたいときは、“HTMLヘルプの更新（811630）”を“Windows Update”機能を利用してインストールする必要があるので注意しよう。

　また同日に、Windows XPのセキュリティ問題を修正する修正プログラムも公開された。これは、“Windows リダイレクタの未チェックのバッファにより権限が昇格する”ということに起因する脆弱性で、この脆弱性を悪用されると、1台のWindows XPパソコンを複数のユーザーで共有しているときに、そのパソコン内での権限を不正に昇格されてしまう可能性があるとのこと。なお同社は、この脆弱性をリモートから悪用することはできないとし、クロス・ドメインの脆弱性に比べると危険性が低い“重要”レベルに定義している。

□Internet Explorer 用の累積的な修正プログラム (810847) (MS03-004)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-004.asp
□Windows リダイレクタの未チェックのバッファにより権限が昇格する (810577) (MS03-005)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-005.asp
□窓の杜 - 【NEWS】IE v5.5 SP 2-6-6 SP1用の累積的修正プログラムの12月4日版がリリース
http://www.forest.impress.co.jp/article/2002/12/05/iepatch.html

（竹元 克己）