NEWS （04/04/14）

「OE用の累積的な修正プログラム」（MS04-013）

　マイクロソフト（株）は14日、「Outlook Express」v5.5/6（以下、OE）のセキュリティ問題を修正する「OE用の累積的な修正プログラム」（MS04-013）を公開した。影響を受けるOSは、Windows 98/Me/NT 4.0/2000/XP/2003 Server。現在同社のセキュリティ情報公開サイト“TechNet”や“Windows Update”機能を利用して各バージョン用の修正プログラムを無償でダウンロードできる。なお、IEなどのアプリケーションはOEの処理ルーチンを用いてMHTML形式の文書を処理するため、OEを利用していないユーザーであっても適用が必要。

　今回公開されたOE用修正プログラムは、2003年4月24日に公開された累積的修正プログラムの修正内容に加え、同社により深刻度が4段階中最高の“緊急”レベルと判定された、“MHTML URL プロセスの脆弱性”に起因するセキュリティ問題を修正する。

　このセキュリティ問題を悪用すると、現在使用しているユーザーと同じ権限でコンピュータがリモート制御され、任意のコードが実行される可能性があるという。特殊な細工が施されたHTMLメールを表示したり、WebページをIEで表示することで、たとえばファイルが読み取られたり、ローカルのファイルが削除されてしまうなどの危険性がある。

　なお“MHTML”とは、“MIME Encapsulation of Aggregate HTML”の略語で、画像ファイルなどを使用したHTMLメールやWebページで、1ページ分の関連ファイルをすべて1つのファイルに埋め込むことができるフォーマット。IEでWebページ保存時に、［Webアーカイブ、単一のファイル］を選ぶと作成されるMHTファイルは、MHTML形式の文書である。

□Outlook Express 用の累積的な修正プログラム (837009) (MS04-013)
http://www.microsoft.com/japan/technet/security/bulletin/MS04-013.asp
□窓の杜 - 【Release NEWS】「OE用の累積的な修正プログラム」2003年4月24日更新版も同日に公開
http://www.forest.impress.co.jp/article/2003/04/24/ms03014.html

（石川 敬峰）