“MS06-013”適用で変更されるActive Xコントロール処理の説明ページ

　マイクロソフト（株）は12日、毎月公開されるセキュリティ修正プログラムの4月版として、修正プログラムと対応する脆弱性情報を公開した。4月公開の修正プログラムは合計5件で、同社による深刻度の判定では、4段階中最高の“緊急”レベルが3件、4段階中2番目の“重要”レベルが1件、4段階中3番目の“警告”レベルが1件。修正プログラムは現在、同社ソフトの更新サービス“Windows Update”や“Microsoft Update”のWebサイトからダウンロードできるほか、Windowsの自動更新機能をONにしておくことで自動的にダウンロードや適用が可能。

　“緊急”レベルと判定された“MS06-013”は、IE v5.01/6用の累積的な修正プログラムで、10種類のセキュリティ問題を修正する。そのうちの1つは、IEの“createTextRange()”メソッド処理に問題があり、細工が施されたWebページを開くだけで任意のコードが実行される脆弱性で、悪用例も報告されているため緊急の適用が必要だ。また“MS06-013”には、Active Xコントロールの処理を変更するパッチも含まれている。同パッチは、米Eolas Technologiesとの特許訴訟に関連して3月1日に公開されていたもので、本パッチの適用により、一部のActive Xコントロールを実行する前にマウスクリックなどの操作が必要となる場合がある。

　“緊急”レベルの2件目となる“MS06-014”は、「Microsoft Data Access Components」（MDAC）に含まれるActiveX コントロールに起因し、リモートでコードが実行される脆弱性。MDACは、Windowsのデータベース操作の基礎となるコンポーネントで、Windows Me/2000/XP/Server 2003には既定でインストールされている。“緊急”レベルの3件目、“MS06-015”は、エクスプローラがCOMオブジェクトを処理する方法に問題があり、リモートでコードが実行される脆弱性で、Windows 98/Me/2000/XP/Server 2003が影響を受ける。

　“重要”レベルと判定された“MS06-016”は、「Outlook Express」v5.5/6用の累積的な修正プログラムで、細工が施されたWAB形式のアドレス帳ファイルを開くと任意のコードが実行される脆弱性を修正する。また、“警告”レベルと判定された“MS06-017”は、“クロスサイト・スクリプティング”攻撃を受け、リモートでコードが実行される「FrontPage Server Extensions 2002」「SharePoint Team Services 2002」の脆弱性を修正する。

□Microsoft Security ホーム
http://www.microsoft.com/japan/security/default.mspx
□Internet Explorer 6 : ActiveX 更新プログラム
http://www.microsoft.com/windows/ie_intl/ja/using/techinfo/activexupdate.mspx

（石川 敬峰）