イスラエルのセキュリティベンダー会社GreyMagic Softwareは9日（現地時間）、2002年8月23日に公開されたIEの累積的脆弱性を修正するパッチ“MS02-047”が不完全であることを公表した。本パッチでは、Gopherクライアントの脆弱性をはじめとする合計6種類の新しい脆弱性が修正されたが、その中のXMLデータ表示に関する脆弱性が別の方法で誘発可能だという。

　GreyMagic Softwareが指摘している脆弱性は、悪意のあるWebサイト上のXMLデータを表示する際に、ユーザーのローカルに保存されているXMLデータが攻撃者に読み取られるというもの。XMLデータはスクリプトを利用して表示されるため、IEの“アクティブ スクリプト”機能をOFFにすれば本脆弱性を回避できる。

□Accessing remote/local content in IE
http://www.greymagic.com/security/advisories/gm009-ie/
□Gopher プロトコル ハンドラの未チェックのバッファにより、攻撃者の任意のコードが実行される (323889) (MS02-027)
http://www.microsoft.com/japan/technet/security/bulletin/ms02-027.asp
□[MS02-047] Internet Explorer の累積的な修正プログラム (2002 年 8 月 22 日)
http://support.microsoft.com/default.aspx?scid=kb;ja;323759
□窓の杜 - 【NEWS】マイクロソフト、Gopher対策などを施したIEの累積的修正プログラムを公開
http://www.forest.impress.co.jp/article/2002/08/23/iepatchq323759.html

（中井 浩晶）