マイクロソフトは12月2日、Internet Explorer 6のIFrameの脆弱性を修正する緊急累積パッチを公開した。
マイクロソフトは12月2日、Internet Explorer 6に存在するIFrameの脆弱性を修正する緊急の累積パッチ(MS04-040)を公開した。
この脆弱性は、IFrameタグおよびEmbedタグを用いて細工を施したHTMLファイルを開くことでバッファオーバーフローが生じてしまうというもの。悪用されればリモートから任意のコードを実行される恐れがあるどころか、実際にこの脆弱性を突いたワームや攻撃が登場していることから、緊急性は非常に高い。マイクロソフトでは「この更新プログラムを直ちにインストール」するよう推奨している。
このパッチは、Windows XP SP1やWindows 2000 SP3/4のほか、Windows NT Server 4.0 SP6やWindows 98/Meといったプラットフォームも対象としており、Windows Updateのほか同社のセキュリティ情報のページからダウンロードできる。
ただし、Windows XP SP2やWindows Server 2003とIE 6の組み合わせの場合は、この脆弱性の影響は受けない。また、パッチ対象となっているプラットフォームでも、IE 5.01や5.5を利用している場合もこの脆弱性は存在しない(が、別の脆弱性が存在するため、これらのバージョンを使い続けることはあまり得策ではない)。
もう1つ、ちょっとややこしいが、この累積パッチは、MS04-004もしくはMS04-038以降にリリースされたパッチを含まない場合があるという。したがって、これらのパッチ適用後にさらにいくつかのパッチを適用していた場合は、MS04-040で示されている累積パッチではなく、更新プログラム 889669を適用するようマイクロソフトは求めている。
この脆弱性は米国時間の11月2日に、実証コードとともに公になったものだ。その約1週間後にはこの脆弱性を悪用したMyDoomの亜種がばら撒かれたほか、3週間後にはIframe脆弱性を突く悪質コードを含んだ広告が配信されるという事件が発生した。ベンダーとのコーディネートに基づく形ではなく、フルディスクロージャ方式でいきなり実証コードが公開されたこともあって、マイクロソフトでは調査を続けていた。
Copyright © ITmedia, Inc. All Rights Reserved.