マイクロソフト、今度はIE上の重大な欠陥を警告

　米Microsoftは20日(米国時間)、PCユーザーに対しInternet Explorer(IE)とWindowsに存在する重大なセキュリティ上の欠陥を警告した。

　Microsoftは今までに公表されたいくつかの脆弱性を修正するIE用の累積的な修正パッチを公開した。また同社製SQL Serverソフトウェアに関する、多くのWindowsユーザーにも実質的な影響がある欠陥についても指摘し、アドバイス情報を再公開した。

　パッチをあてていないユーザーは、悪意のあるウェブページ閲覧や、ウイルス感染を広めるコードが含まれているHTML形式の電子メール受信により、コンピュータが感染する危険がある、とMicrosoftセキュリティレスポンスセンターのセキュリティプログラムマネージャーを務めるStephen Toulouseは言う。

　「IE用深刻度の4段階評価システム上、Windows 2003を除いた全てのオペレーティングシステム(OS)において、これは[緊急]評価だ」とToulouseは語る。この評価は同社の警告評価上、最も深刻なレベルである。一方、最新OSであるWindows 2003では、4段階中の最も軽微なものから2番目の[警告]評価となっている。

　だが、いくら緊急評価の欠陥でも、これら最近の脆弱性は、ワーム作成者の餌食になる可能性は薄い。その攻撃者が所有するウェブページにまずアクセスしないと、被害も生じないためだ。

　IEの脆弱性は、ウェブ閲覧の際に送られてくるウェブサーバからのデータ内容の種類を確認する仕様になっていないことが関連している。Microsoftがそのアドバイス情報の中で触れているように、IEブラウザーが持つクロスドメインセキュリティモデルの欠陥が原因している。

　今回のもう1つの重大な脆弱性は、全てのWindowsバージョンに影響を与えるもので、MicrosoftのSQL Serverの脆弱性の問題と考えられたが、実際にはどのWindowsにも含まれているMicrosoft data access component (MDAC)の欠陥だった。Windows 2003のデフォルト状態ではこの脆弱性を持つソフトウェアはインストールされない。だが、ユーザーがそのプログラムをダウンロードし追加インストールが可能なため、脆弱性の問題が生じる危険がある。

　一方、これら重大な危険性を持つ脆弱性が指摘されている中でも、Windows 2003への影響が比較的軽度なのは明るい希望だとMicrosoftのToulouseは指摘する。「これは(Microsoftが提唱する）『Trustworthy Computing』による進歩を示していると思う。OSの初期設定はよりセキュアになっている」(Toulouse)