.
マイクロソフト、「IE用の累積的な修正プログラム」2003年4月24日更新版を公開
“緊急”レベルの問題が3つ、“警告”レベルの問題が1つ新たに修正される
(03/04/24)
マイクロソフト(株)は24日、「Internet Explorer」(以下、IE)のセキュリティ問題を修正する「IE用の累積的な修正プログラム」の2003年4月24日更新版を公開した。対象となるのはIEのv5.01 SP3/5.5 SP 2/6/6 SP1の各バージョンで、現在同社のセキュリティ情報公開サイト“TechNet”や“Windows Update”機能を利用して各バージョン用の修正プログラムを無償でダウンロードできる。
IE用の今回公開された修正プログラムでは、2003年2月6日更新版の累積的修正プログラムの修正内容に加え、深刻度が最高の“緊急”レベルに定義された問題3つと、最高から2番目の“警告”レベルに定義された問題1つが新たに修正される。IEがWebサーバーから受信した通信リクエストのパラメーターを適切にチェックしていないことに起因する“URLMON.DLLのバッファオーバーラン”の脆弱性、閉じるまで他の作業をできなくするタイプのダイアログ“モーダルダイアログ”で入力パラメーターが適切にチェックされていないことに起因する“モーダルダイアログのスクリプト実行”の脆弱性の2つは、いずれも“緊急”レベルに定義されているセキュリティ問題。この2つの問題は原因こそ違うものの、攻撃者のWebサイトをユーザーが閲覧しただけで任意のコードを実行してしまう恐れがある点は共通しているとのこと。“緊急”レベルの残り1つの問題は、IEがサードパーティー製プラグインを利用してファイルを表示する際に、IEが受け取るパラメーターを適切にチェックしていないことに起因する“サードパーティのプラグインレンダリング”の脆弱性で、攻撃者がファイルに挿入した不正なスクリプトを実行してしまう怒れがあるという。
IEのv5.01 SP3/5.5 SP 2/6/6 SP1がインストールされているパソコンに同修正プログラムを適用することで、これらのセキュリティ問題を修正することができる。
□Internet Explorer 用の累積的な修正プログラム (813489) (MS03-015)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-015.asp
□窓の杜 - 【Release NEWS】「OE用の累積的な修正プログラム」2003年4月24日更新版も同日に公開
http://www.forest.impress.co.jp/article/2003/04/24/ms03014.html
(竹元 克己)