IE向けパッチに不具合--ActiveXやJavaを使ったサイトで問題発生のおそれ

　Microsoftから提供されている2件の「Internet Explorer（IE）」向けセキュリティアップデートにより、特定のカスタムアプリケーションを使用するウェブサイトの機能が損われる可能性があることが明らかになった。

　同社は米国時間11月2日、ウェブサイトに掲載した2件の勧告を通して、同社がセキュリティ情報「MS05-038」および「MS05-052」で公開したパッチをインストールすると、上記の問題が発生することを明らかにした。

　これらのパッチは、ActiveXコントロールと併用すると問題を引き起こす。ActiveXコントロールは、ウェブサイトをよりインタラクティブにするための単純なタスクを処理する、小さなプログラムだ。また、MS05-038で公開されたパッチは、Javaアプリケーションにも障害を及ぼすという。Microsoftは、これらのパッチがインストールされると、特定の方法でプログラムされたアプリケーションがIEで機能しなくなると述べている。

　MicrosoftのSecurity Response Center（MSRC）プログラムマネージャStephen Toulouseは2日、MS05-038およびMS05-052に起因する問題の影響を受けるユーザーは非常に少ないと、MSRCのブログに書き込んだ。「当社がセキュリティ目的で作成したこれらのパッチを利用して、一部のウェブページが正常に表示されないという問題を経験するのは、限られたユーザーだけだ」（Stephen Toulouse）

　Microsoftのパッチが、システムに不具合をもたらす例は今回が初めてではない。最近では、PCの安全性を高めようと設定変更を行ったユーザーのシステムが、あるパッチによって大打撃を受けており、また、Windows 2000ユーザーが別のセキュリティ問題に対する適切なパッチを探し出せず、誤ったパッチを利用してしまうという問題も起こっている。

　MS05-052で公開されたパッチは、　IEの安全性を向上させるため複数の変更をWindowsに施すものだった。だが、これが原因となって問題が発生するという。同パッチをインストールすると、IEはActiveXコントロールに特殊なセキュリティ設定が適用されているかどうかを調べる。同設定が適用されていない場合、IEはActiveXコントロールを停止すると、Microsoftの勧告には記されている。

　この問題を解決するため、同社は開発者らに、問題のあるActiveXコントロールをリコンパイルし、インターネットブラウザ上での稼働の安全性を確保するよう、勧告で推奨している。同社はさらに、ActiveXコントロールが機能しないウェブサイトを閲覧する場合は、IEのセキュリティレベルを低く設定することで問題を回避できると述べる一方で、これは勧められない対処策だという。

　MS05-038を適用するとセキュリティ上のメリットを得られるが、こちらでもやはりActiveXコントロールとJavaアプリケーションに問題が起こる。Microsoftは2件目の勧告で、「カスタムモニカー」が利用されている際に、この問題が起こると述べている。問題を解決するには、アプリケーションを交換する必要がある。