4月の月例パッチはIEの脆弱性とEolas問題に対処

Microsoftは11日の月例パッチでIEの脆弱性を修正し、Eolas訴訟に関連した変更も盛り込む予定。ただし変更を一時的に猶予するための「互換性パッチ」も同時にリリースする。

[ITmedia]

　米Microsoftは4月11日に公開する月例セキュリティアップデートで、Internet Explorer（IE）の脆弱性を修正するとともに、Eolas訴訟に関連したIEの変更を適用する。ただ、この変更を一時的に回避するための「互換性パッチ」も同時にリリースする。

　4月3日に更新されたセキュリティアドバイザリーによると、Eolas訴訟への対処としてMicrosoftでは、ActiveXコントロールを使ったWebページの処理方法に変更を加えるIEのアップデートを作成して段階的にリリース、2月28日には「推奨アップデート」としてWindows Updateで配布した。

　4月11日の月例パッチでは、IEの累積セキュリティアップデートの一部としてこの修正を組み込む予定。

　しかし、ビジネスアプリケーションをIEのこの変更に対応させるためにもっと時間が必要だとの声が一部企業から寄せられたため、Microsoftでは猶予措置として、IEのセキュリティアップデートと同じ日に、互換性パッチをリリースする（3月31日の記事参照）。

　この互換性パッチを適用すると、ActiveXコントロールの処理機能が一時的に元の状態に戻るという。同パッチの有効期限は6月のIEアップデートまで。それ以降はActiveXコントロールの処理に関して恒久的な変更が加えられる。

　11日のアップデートでは、IEに関して新たに報告された「createTextRange」の脆弱性にも対処する。この問題では、HTMLオブジェクトへの特定のメソッドコールを含んだWebページをIEで表示するとシステムメモリが破損し、攻撃者が任意のコードを実行できてしまう恐れがある。悪用コードも公開され、Microsoftでも問題の深刻性を認めている。

　Microsoftによれば、この修正パッチは現在テスト中で、11日の月例アップデートに盛り込む予定だが、品質が保証されれば前倒しでリリースする可能性もあるという。