logo

マイクロソフト、IEの脆弱性を修正する緊急パッチをリリース

Ina Fried (CNET News.com)2004年08月02日 08時30分
  • このエントリーをはてなブックマークに追加

 Microsoftは30日(米国時間)、Internet Explorer(IE)に存在する3つの重大な脆弱性をふさぐパッチをリリースした。これらの脆弱性のうち、1つは「Download.Ject」というトロイの木馬ウイルスで悪用されていたものだ。

 同社は7月に、この脆弱性を回避する設定変更用パッチをリリースしており、最近では包括的なパッチを近日中に提供すると発表していた。同社はまた警察当局と協力し、悪質なコードの出所であったロシアのサーバを閉鎖した。

 今回リリースされたパッチは問題のセキュリティホールをふさぐもので、Microsoftのセキュリティウェブサイトからダウンロードできる。同社では全IEユーザに対し、ブラウザをアップデートするよう推奨している。この欠陥は専門的には「クロスドメインの脆弱性」と呼ばれるもので、これを悪用した攻撃者はブラウザのセキュリティ境界を越え、悪質なコードを送付・実行できてしまう。

 Microsoftでは、6月末にこの脆弱性が悪用されたことが判明した時点で、すでにこの問題を修正するIEのアップデート作成に取り組んでいたと、同社のセキュリティプログラムマネージャーStephen Toulouseは述べている。

 またこのパッチは、他に2つの欠陥も修正する。これらの脆弱性はいずれも画像処理に関するもので、影響を受けるシステム上で悪質なコードが実行される恐れがあるため、「緊急」レベルに評価されていた。

 Microsoftではこの2つの欠陥に関連する攻撃があったことは把握していないが、「顧客は、自分の利用するPCを保護するために、このアップデートを必ず適用してほしい」とToulouseは述べた。

 セキュリティ対策ソフトメーカーのSymantecでも、ウェブユーザーにこのパッチを適用することを推奨している。

 「Microsoft Internet Explorerは企業および消費者の間で広く普及しており、このセキュリティパッチを即時に適用することは非常に重要だ」と、Symantec Security ResponseのシニアディレクターAlfred Hugerは声明を発表している。

 Toulouseは、まもなくリリースされるWindows XP Service Pack 2(SP2)には機能を強化したIEが同梱されると指摘し、SP2ではIEの内部構造に変更が加えられているため、この攻撃に関する脆弱性は存在しないと付け加えた。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集