マイクロソフト、今度はIE上の重大な欠陥を警告

 米Microsoftは20日(米国時間)、PCユーザーに対しInternet Explorer(IE)とWindowsに存在する重大なセキュリティ上の欠陥を警告した。

 Microsoftは今までに公表されたいくつかの脆弱性を修正するIE用の累積的な修正パッチを公開した。また同社製SQL Serverソフトウェアに関する、多くのWindowsユーザーにも実質的な影響がある欠陥についても指摘し、アドバイス情報を再公開した。

 パッチをあてていないユーザーは、悪意のあるウェブページ閲覧や、ウイルス感染を広めるコードが含まれているHTML形式の電子メール受信により、コンピュータが感染する危険がある、とMicrosoftセキュリティレスポンスセンターのセキュリティプログラムマネージャーを務めるStephen Toulouseは言う。

 「IE用深刻度の4段階評価システム上、Windows 2003を除いた全てのオペレーティングシステム(OS)において、これは[緊急]評価だ」とToulouseは語る。この評価は同社の警告評価上、最も深刻なレベルである。一方、最新OSであるWindows 2003では、4段階中の最も軽微なものから2番目の[警告]評価となっている。

 だが、いくら緊急評価の欠陥でも、これら最近の脆弱性は、ワーム作成者の餌食になる可能性は薄い。その攻撃者が所有するウェブページにまずアクセスしないと、被害も生じないためだ。

 IEの脆弱性は、ウェブ閲覧の際に送られてくるウェブサーバからのデータ内容の種類を確認する仕様になっていないことが関連している。Microsoftがそのアドバイス情報の中で触れているように、IEブラウザーが持つクロスドメインセキュリティモデルの欠陥が原因している。

 今回のもう1つの重大な脆弱性は、全てのWindowsバージョンに影響を与えるもので、MicrosoftのSQL Serverの脆弱性の問題と考えられたが、実際にはどのWindowsにも含まれているMicrosoft data access component (MDAC)の欠陥だった。Windows 2003のデフォルト状態ではこの脆弱性を持つソフトウェアはインストールされない。だが、ユーザーがそのプログラムをダウンロードし追加インストールが可能なため、脆弱性の問題が生じる危険がある。

 一方、これら重大な危険性を持つ脆弱性が指摘されている中でも、Windows 2003への影響が比較的軽度なのは明るい希望だとMicrosoftのToulouseは指摘する。「これは(Microsoftが提唱する)『Trustworthy Computing』による進歩を示していると思う。OSの初期設定はよりセキュアになっている」(Toulouse)

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]