米マイクロソフト、IEとOutlookに深刻な欠陥

　米Microsoftは米国時間4月23日、Internet Explorer（IE）とOutlook Expressで見つかったセキュリティホールのパッチをリリースした。

　攻撃者がこのセキュリティホールを利用すると、ユーザーのパソコンを乗っ取り、プログラムを実行することができる。深刻な欠陥であるため、同社はIEとOutlook Exporessの両アプリケーションのアップデートを勧告している。「ユーザーには、何よりもまずパッチをインストールして、自分のマシンを保護してもらいたい」（Microsoftセキュリティ対応センターのセキュリティプログラム責任者、Stephen Toulouse）

　IEは5.01、5.5、6.0バージョンに4つのセキュリティホールが見つかった。最も深刻な欠陥は、ユーザーが悪意のあるHTML形式の電子メールを読んだりウェブサイトにアクセスすると、攻撃者にコンピュータを乗っ取られてしまうというものだ。攻撃者がアプリケーションの許容量を超えるデータを大量送信すると、IEのコンポーネントにバッファオーバーフローが発生し、犠牲者のコンピュータ上で任意のコードを実行可能になる。

　そのほか、攻撃者が犠牲者のコンピュータからファイルをウェブサイトにアップロードする可能性のある欠陥や、米Adobe SystemsのPDFファイルなど、サードパーティーのファイル処理に影響する問題が検出された。

　一方、Outlook Expressでは、HTMLをカプセル化する手法に欠陥が認められた。攻撃者はこの欠陥を悪用して、犠牲者のコンピュータでプログラムを実行できる。

　Microsoftは、Outlook ExpressとIEを使っていないユーザーも、パッチをインストールするよう警告している。今回を含め、Microsoftは今年に入ってから15回もセキュリティ報告を行った。ちなみに同社は、自社の各種アプリケーションのセキュリティ向上を図るTrustworthy Computing Initiativeキャンペーンを、昨年立ち上げている。