エンタープライズ:ニュース 2002/11/21 17:17:00 更新


IE用累積パッチも同時にリリース、しかしこれだけで安心は禁物

MDACにセキュリティホールが発見され、対策が公開されたのとほぼ同時に、マイクロソフトよりIE向けの累積パッチがリリースされた

 マイクロソフトは11月21日、Internet Explorer(IE)向けの累積的な修正プログラム(MS02-066)を公開した。同社がIE向けにこうした累積パッチを提供するのは、2002年に入ってから通算4度目のこととなる。

 この累積パッチは、今年8月に公開された累積パッチ「MS02-047」で修正された問題に加え、新たに6種類のセキュリティホールに対処するものだ。

 この中には、PNG形式の画像処理に問題があり、バッファオーバーフローが引き起こされる可能性があるという問題や、フレーム/フレームタグに潜むクロスサイトスクリプティングのセキュリティホールを悪用し、ローカルコンピュータゾーンでスクリプトを実行されてしまう問題などが含まれている。この結果、最悪の場合には、意図しないアプリケーションやスクリプトが攻撃者によって実行させられたり、個人情報が漏洩してしまう可能性がある。

 同社は先日、セキュリティ警告情報の提供方法を改め、評価システムを4段階に修正している。新評価システムにおける最大の深刻度、「緊急」にランクされた内容はないとはいえ、「重要」とされたものが4つ含まれているため、速やかにパッチを適用しておきたい。累積パッチは同社Webサイト、もしくはWindows Updaateより入手できる。

 パッチが対象とするのはIE 6および6 Service Pack 1、IE 5.5 Service Pack 2とIE 5.01 Service Pack 3だ。ただしIE 5.01についてはWindows 2000上で稼働するものに限られる。

 なおMS02-066とほぼ同時に、Internet Information Services(IIS)やIE、Windows OS(XP以外)など広範なプラットフォームに影響を与える、MDAC(Microsoft Data Access Component)のセキュリティホール(MS02-065)が発見され、対応方法とパッチが公開されている。

 マイクロソフトに確認したところ、MS02-066の累積パッチの中には、MS02-065の内容が一部含まれているという。ただし、MS02-066はIEのみを対象とした累積パッチであるのに対し、MS02-065は影響を与える範囲が幅広く、IISやWindows XP以外のプラットフォームでも対処が必要となる。このため同社では、MS02-066を適用したうえで、念のためMS02-065も適用するよう推奨しているということだ。

 結局は、新しいセキュリティホールが登場するたびに指摘されるセキュリティ対策の基本――「最新のパッチを適用する」「不要なサービスは停止する」といった事柄を、改めて確認すべきということだ。

 ネットワーク管理者の立場にあるならば、さらに、ルータやファイアウォールのログを調べ、不審なトラフィックが記録されていないかを確認したり、日本語・英語を問わずセキュリティ情報に気を配り、今回のセキュリティホールが悪用されたケースが登場していないかをチェックするといった対処も求められるだろう。管理下にあるマシンのパッチ適用状況を確認することは、言うまでもない。

関連記事
▼MSソフトに深刻な脆弱性、「数百万台に影響」?
▼マイクロソフト、セキュリティ警告をより分かりやすく
▼マイクロソフトがIE用累積パッチを公開、Gopher問題もようやく修正へ

関連リンク
▼MS02-066に関する情報(日本語速報)
▼MS02-066: Cumulative Patch for Internet Explorer (Q328970)
▼MS02-065に関する情報(日本語速報)
▼Microsoft Security Bulletin MS02-065

[ITmedia]