リモートで任意のコードを実行されるIEの脆弱性に対する修正パッチが公開
IEのバージョンやOSなどの違いにより7種類のパッチが用意されている
|
Windows XP SP2用修正パッチの実行画面 |
米Microsoft Corporationは5日、ユーザーのコンピューター上で任意のコードが実行されるIEの脆弱性について、特定コンポーネントに起因する危険を回避するための修正パッチを公開した。同脆弱性は、IEの使用・不使用に関わらず影響を受ける。本パッチは、IEのバージョンやOSなどの違いにより7種類公開されており、下記URLからそれぞれ日本語版をダウンロードできる。マイクロソフト(株)によると、根本的な解決を図る修正パッチの提供については現在検討中とのこと。
□Windows XP SP2の場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=C1381768-6C6D-4568-97B1-600DB8798EBF
□Windows 98/Me/2000/XP SP1でIE 6 SP1の場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=2A506C16-01EF-4060-BCF8-6993C55840A9
□Windows MeでIE 5.5 SP2の場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=06F8CD1B-93A0-4522-AF7D-603DD5C2BACB
□Windows 2000でIE 5.01の場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=25982E02-EC6D-44CE-82DE-12DDEF1ADDD6
□Windows Server 2003の場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=F368E231-9918-4881-9F17-60312F82183F
□Windows Server 2003 x64 Editionsの場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=68209225-A682-4008-A22B-881C401486F7
□Windows Server 2003 for Itanium-based Systemsの場合
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=D785F9AB-DBE9-4272-A87E-64205690F98E
本パッチは、ActiveXコントロールの動作を抑制する“Kill Bit”を利用し、IEのJava実行環境「Microsoft Java Virtual Machine」に含まれている“javaprxy.dll”を無効化する仕組み。Microsoftは修正パッチを提供するほか、“インターネット オプション”画面で“インターネット”と“イントラネット”ゾーンのセキュリティレベルを“高”にし、ActiveXコントロールを無効にする回避策も紹介している。
□Microsoft Security Advisory (903144): A COM Object (Javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit
http://www.microsoft.com/technet/security/advisory/903144.mspx
□Javaprxy.dll COM オブジェクトのセキュリティ問題の利用可能更新
http://support.microsoft.com/?id=903235
□IE6 javaprxy.dll COM instantiation heap corruption
http://www.sec-consult.com/184.html
(石川 敬峰)
|