マイクロソフトが4月の月例パッチリリース--IEの脆弱性10件などに対応

Windowsの脆弱性

　Microsoftは今回IEの脆弱性を修正するパッチのほかに、Windowsにある2件の脆弱性に対応するパッチも公開したが、やはり「緊急」レベルに分類されるこれらの脆弱性は、IEの脆弱性の影響を受けるすべてのバージョンのWindowsに影響を与えるもので、Windowsユーザーにとってはダブルパンチとなる。この2件の脆弱性--特定のActiveXコントロールに関するもの（MS06-014）とWindows Explorerのバグ（MS06-015）は、いずれもPCを乗っ取るのに悪用される可能性がある。

　どちらの脆弱性も、侵入者がこれを悪用には、特別なウェブページをつくる必要がある。またWindowsとIEに見つかった脆弱性のなかには、HTMLメールで悪用される可能性があるものもある。

　Outlook Expressのユーザーは、さらに別の脆弱性に起因するリスクに直面している。Microsoftは「Security Bulletin MS06-016」のなかで、Outlook ExpressにはWindowsのアドレス帳ファイルの処理方法に関する脆弱性があり、特別に作成されたWABファイルを開くと悪質なコードが実行され、攻撃者にWindows PCを乗っ取られるおそれがあると説明している。

　同社によると、WindowsやOutlook Expressの脆弱性は同社に非公式に報告されていたが、これを悪用した攻撃の報告は受けていないという。

　Microsoftが出した5件のセキュリティ警告の最後が「MS06-017」で、これは影響を受けるユーザー数が最も少なく、深刻度も「警告」に分類されている。ウェブサイト作成用ソフトのFrontPageとコラボレーションソフトのSharePointにあるクロスサイトスクリプティングの脆弱性は、システムの改ざんにつながる可能性があると、同社では説明している。

IEに特許対策関連の変更

　IEのアップデートには、セキュリティパッチのほかに、ActiveXの処理方法を変更するものも含まれている。この変更は、 MicrosoftとEolas Technologiesの間で長期間続いている特許関連の訴訟に対応したもので、これによりIEで特定のウェブサイトを表示する方法が変わってくる。

　このActiveX関連の変更に対応する時間がさらに必要なIEユーザーは、それを2カ月間無効にする特別なパッチをダウンロードすることができる。この「互換性（確保のための）パッチ」は、ActiveXを利用したカスタムアプリケーションを利用している企業向けに特別に考えられたものだと同社では説明していた。