MS、IE向けパッチで新たな問題

　MicrosoftがリリースしたInternet Explorer（IE）向けのパッチが、一部のWindowsシステムで新たな脆弱性の原因となることが明らかになった。

　Microsoftが米国時間8月22日に発表した同脆弱性に関するセキュリティ勧告によると、この脆弱性が悪質なユーザーに利用された場合、Windows PCの乗っ取りが可能になるという。この危険性が発生するのは、セキュリティアップデート「MS06-042」を適用したPCでIE 6 Service Pack 1（SP1）を稼働している場合である。この脆弱性は、文字数の多いウェブアドレスをIEが処理する方法に関係し、特別に作られたウェブサイトにユーザーを誘導する場合に悪用されると勧告では述べている。

　ただし、勧告によると、同脆弱性を利用した攻撃は確認されていないという。

　Microsoftは米国時間8月8日に、月例パッチサイクルの一環として、MS06-042をリリースしている。同アップデートは、深刻度が最も高い「緊急」レベルに分類されており、IEに関して8件の脆弱性を修正している。

　同社は、MS06-042適用後にブラウザが異常終了するという複数の報告があったことから、同パッチの新バージョンを22日にリリースする予定だった。

　しかし、新バージョンはまだリリースされておらず、Microsoft Security Responseプログラムマネージャーを務めるStephen Toulouse氏は22日、同社のブログで、テスト時に不具合が発見されたことを理由に、修正プログラムのリリースが延期されたことを明らかにした。

　現在IE 6 SP1を使用している場合、パッチの適用状況にかかわらずサイバー攻撃者の標的になる。Microsoftは、MS06-042の適用後、ブラウザの設定でHTTP 1.1プロトコルの使用を無効にすることを推奨している。

　Microsoftによると、この問題は、Microsoft Windows XP Service Pack 2（SP2）またはMicrosoft Windows 2003などのバージョンでのIEを使用している場合は発生しないという。

Microsoftは、MS06-042の新バージョンがいつリリースされるかは明らかにしていない。