Microsoftは今回IEの脆弱性を修正するパッチのほかに、Windowsにある2件の脆弱性に対応するパッチも公開したが、やはり「緊急」レベルに分類されるこれらの脆弱性は、IEの脆弱性の影響を受けるすべてのバージョンのWindowsに影響を与えるもので、Windowsユーザーにとってはダブルパンチとなる。この2件の脆弱性--特定のActiveXコントロールに関するもの(MS06-014)とWindows Explorerのバグ(MS06-015)は、いずれもPCを乗っ取るのに悪用される可能性がある。
どちらの脆弱性も、侵入者がこれを悪用には、特別なウェブページをつくる必要がある。またWindowsとIEに見つかった脆弱性のなかには、HTMLメールで悪用される可能性があるものもある。
Outlook Expressのユーザーは、さらに別の脆弱性に起因するリスクに直面している。Microsoftは「Security Bulletin MS06-016」のなかで、Outlook ExpressにはWindowsのアドレス帳ファイルの処理方法に関する脆弱性があり、特別に作成されたWABファイルを開くと悪質なコードが実行され、攻撃者にWindows PCを乗っ取られるおそれがあると説明している。
同社によると、WindowsやOutlook Expressの脆弱性は同社に非公式に報告されていたが、これを悪用した攻撃の報告は受けていないという。
Microsoftが出した5件のセキュリティ警告の最後が「MS06-017」で、これは影響を受けるユーザー数が最も少なく、深刻度も「警告」に分類されている。ウェブサイト作成用ソフトのFrontPageとコラボレーションソフトのSharePointにあるクロスサイトスクリプティングの脆弱性は、システムの改ざんにつながる可能性があると、同社では説明している。
IEのアップデートには、セキュリティパッチのほかに、ActiveXの処理方法を変更するものも含まれている。この変更は、 MicrosoftとEolas Technologiesの間で長期間続いている特許関連の訴訟に対応したもので、これによりIEで特定のウェブサイトを表示する方法が変わってくる。
このActiveX関連の変更に対応する時間がさらに必要なIEユーザーは、それを2カ月間無効にする特別なパッチをダウンロードすることができる。この「互換性(確保のための)パッチ」は、ActiveXを利用したカスタムアプリケーションを利用している企業向けに特別に考えられたものだと同社では説明していた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手