.

Release NEWS

マイクロソフト、「IE用の累積的な修正プログラム」2003年6月5日更新版を公開

バッファオーバーランとフラッディングの脆弱性の問題2つが新たに修正される

（03/06/05）

Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)

　マイクロソフト（株）は5日、「Internet Explorer」（以下、IE）のセキュリティ問題を修正する「IE用の累積的な修正プログラム」の2003年6月5日更新版を公開した。IEのv5.01 SP3/5.5 SP 2/6/6 SP1および、Windows Server 2003にインストールされているIE 6が、修正プログラムの対象となる。現在同社のセキュリティ情報公開サイト“TechNet”や“Windows Update”機能を利用して、IEの各バージョン用の修正プログラムを無償でダウンロードできる。

　IE用の今回公開された修正プログラムでは、2003年4月24日更新版の累積的修正プログラムの修正内容に加え、深刻度が最高の“緊急”レベルに定義された“バッファオーバーラン”（buffer overrun）の脆弱性と“フラッディング”（Flooding）の脆弱性の問題2つが新たに修正される。ただし、これらのセキュリティ問題は、Windows Server 2003のIE 6に限っては4段階中3番目の“警告”レベルに定義されている。

　バッファオーバーランの脆弱性は、IEがOBJECTタグの種類を判断する際にパラメーターのチェックを適切に行わないことに起因する問題で、Web管理者に悪用されるとIEを異常終了させたり任意のコードを実行される可能性があるという。フラッディングの脆弱性は、ユーザーがファイルのダウンロードを確認する際に表示されるダイアログの処理方法に起因する問題。この問題をWeb管理者がIFRAMEタグなどを利用して悪用すると、IEを使用しているユーザーのパソコン上にダウンロードを確認するダイアログを大量に表示させることで、ユーザーの確認なしに任意ファイルのダウンロードと実行を強制的に行えてしまう可能性があるという。

　IEのv5.01 SP3/5.5 SP 2/6/6 SP1がインストールされているパソコンや、Windows Server 2003に同修正プログラムを適用することで、これらのセキュリティ問題を修正することができる。

□Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-020.asp
□窓の杜 - 【Release NEWS】マイクロソフト、「IE用の累積的な修正プログラム」2003年4月24日更新版を公開
http://www.forest.impress.co.jp/article/2003/04/24/ms03015.html

（竹元 克己）