.

Release NEWS

マイクロソフト、URL詐称の問題などに対処するIE用の修正プログラムを緊急公開

“緊急”レベルの問題1つ、“重要”レベルの問題2つが新たに修正される

（04/02/03）

　マイクロソフト（株）は3日、URL詐称の脆弱性などを修正する「IE用の累積的な修正プログラム」の2004年2月3日更新版を緊急公開した。2003年11月12日更新版の累積的修正プログラムの修正内容に加え、深刻度が最高の“緊急”レベルに定義された問題が1つ、上から2番目の“重要”レベルに定義された問題が2つ、合計で3つのセキュリティ問題を新たに修正できる。現在、同脆弱性（MS04-004）の解説ページからリンクの張られている“ダウンロードセンター”の各ページから、または“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。

　もっとも深刻度が高い“緊急”レベルに定義された“クロスドメインの脆弱性”は、IEが実装しているクロスドメインのセキュリティモデルに関連する問題。インターネットゾーンのセキュリティレベルで実行されるはずのスクリプトが、ローカルコンピューターのセキュリティレベルで実行される可能性があるという。

　また、“重要”レベルに定義された問題のうち“ドラッグ＆ドロップ操作の脆弱性”は、IEのダイナミックHTMLイベントの関数ポインタに関連する問題。Weサイト上のリンクをクリックしたときに、ダイアログを表示することなく任意ファイルが強制的にダウンロード・保存されてしまう可能性があるとのこと。

　“重要”レベルのもう1つの“URL詐称の脆弱性”は、特殊な文字の含まれるURLの文字列を不正確に解析することに関連する問題。リンク先URLの文字列に細工が施されている場合、リンク文字列にマウスを重ねたときに実際のリンク先とは異なるURLがステータスバーに表示されたり、実際に表示中のWebページとは異なるURLがアドレス欄に表示されてしまうというもの。

　これら3つの問題を悪用して作成されたWebページをユーザーが閲覧すると、最悪の場合、ユーザーのコンピューター上で任意のコードを実行されるといった危険性がある。IEのv5.01 SP2/5.01 SP3/5.01 SP4/5.5 SP2/6/6 SP1の各バージョンにそれぞれ対応する修正プログラムを適用すれば、これら3種類のセキュリティ問題を一括修正することができる。ただし適用後には、ユーザー名とパスワードを“http://username:password@server/”のように記述したHTTPアドレスにアクセスできなくなるので注意。

□Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) (MS04-004)
http://www.microsoft.com/japan/technet/security/Bulletin/MS04-004.asp
□窓の杜 - 【Release NEWS】米Microsoft、IEのURL詐称の問題に対処する修正プログラムを公開予定と発表
http://www.forest.impress.co.jp/article/2004/01/28/spooffixplan.html
□窓の杜 - 【Release NEWS】マイクロソフト、セキュリティ修正プログラムの1月版をリリース
http://www.forest.impress.co.jp/article/2004/01/14/securityfixmonthly.html

（竹元 克己）