.

Release NEWS

マイクロソフト、「IE用の累積的な修正プログラム」2003年8月21日更新版を公開

任意のコードやスクリプトを実行されてしまう問題などを修正できる

（03/08/21）

　マイクロソフト（株）は21日、「IE用の累積的な修正プログラム」の2003年8月21日更新版を公開した。IEのv5.01 SP3/5.5 SP 2/6/6 SP1および、Windows 2003 ServerにインストールされているIE 6のセキュリティ問題を修正することができる。現在同社のセキュリティ情報公開サイト“TechNet”や“Windows Update”機能を利用して、IEの各バージョン用の修正プログラムを無償でダウンロードできる。

　IE用の今回公開された修正プログラムでは、2003年6月5日更新版の累積的修正プログラムの修正内容に加え、攻撃者のWebサイトをユーザーが閲覧しただけで任意のコードやスクリプトを実行されてしまう、識別番号“CAN-2003-0531”と“CAN-2003-0532”の脆弱性などが新たに修正される。“CAN-2003-0531”は、悪意ある管理者に作成されたWebページをユーザーがIEで閲覧したときに、IEが実装しているクロスドメインのセキュリティモデルを無視されてしまうことに起因する脆弱性で、IEのキャッシュ内のスクリプトを実行されてしまう可能性がある。“CAN-2003-0532”は、IEがWebページ内のオブジェクトタグを処理するときに、特定のHTTPリクエストを正しく処理しないことに起因する脆弱性で、ユーザーが不正なWebページを閲覧しただけで任意のコードを実行されてしまう恐れがあるという。そのほか、Windows障害報告ツールとして使用されていたActiveXコントロールの“BR549.DLL”に、バッファオーバーランの脆弱性が存在することが確認されたため、特定のActiveXコントロールの動作をレジストリキーで抑制できる“Kill Bit”に設定された。

　また、Windowsのデータベース操作の基礎となるコンポーネント「Microsoft Data Access Components」（以下、MDAC）のセキュリティ問題を修正するプログラムも同日に公開されている。Windows Me/2000/XPには標準でインストールされているほか、「Microsoft SQL Server 2000」などの別ソフトにも含まれているコンポーネントであるため、セキュリティ問題の対象となるOSやソフトを利用している場合には、「IE用の累積的な修正プログラム」のセキュリティ修正プログラムと一緒に適用したほうがよいだろう。

□Internet Explorer 用の累積的な修正プログラム (822925) (MS03-032)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-032.asp
□MDAC 機能の未チェックのバッファにより、システムが侵害される (823718) (MS03-033)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.asp
□窓の杜 - 【Release NEWS】マイクロソフト、「IE用の累積的な修正プログラム」2003年6月5日更新版を公開
http://www.forest.impress.co.jp/article/2003/06/05/ms03020.html

（竹元 克己）