| エンタープライズ:ニュース | 2003/06/05 06:48:00 更新 |
新たに2つ「緊急」の脆弱性、MSがIE用の累積パッチを公開
マイクロソフトは6月5日、Internet Explorer 6/5.5/5.01用の新たな累積パッチ(MS03-020)を公開した。
マイクロソフトは6月5日、Internet Explorer(IE)用の新たな累積パッチ(MS03-020)をリリースした。IE用累積パッチの公開は、今年に入ってこれが3度目だ。
MS03-020の対象となるのは、IE 6/5.5/5.01とIE 6.0 for Windows Server 2003。4月に公開されたMS03-015で修正された問題に加え、新たに2つのセキュリティホールを修正する。いずれも深刻度は「緊急」とされているため、Windows UpdateもしくはWebからダウンロードしたうえ、早急な適用が望ましい。
なおIE 6.0 for Windows Server 2003の場合、これらの問題の深刻度は、上から3番目の「警告(Moderate)」となっている。
今回の累積パッチで修正される問題点のうち1つは、米eEye Ditital Securityが指摘したものだ。IEのオブジェクトタグの「Type」プロパティに、バッファオーバーフローの脆弱性が存在する。これを悪用すれば、攻撃者が、対象となったPC上の任意のコードを、そのときログインしているユーザーの権限で実行できてしまう可能性がある。
もう1つの問題は、ファイルダウンロード時のダイアログボックスで、ブロックを適切に実装していないことに起因する。この問題も、悪用されればPC上の任意のコードを実行されてしまう可能性がある。しかもこれは、仕掛けを施したHTML形式の電子メールなどを通じて、ユーザーが気づかないうちに悪用されてしまう恐れがあるという。
なお作業の際には、Windows Updateに起因する問題などがないかどうか、マイクロソフトの「トラブル・メンテナンス速報」もチェックしておくことをお勧めする。
関連記事
MS、パッチ提供システム改善を約束IEとOutlook Expressに「緊急」の脆弱性関連リンク
MS03-020 に関する情報(日本語速報)MS03-020: Cumulative Patch for Internet Explorer (818529)Internet Explorer Object Type Property Overflow(eEye Ditital Security)[ITmedia]
