MS、4月の月例パッチを予告--深刻なIE脆弱性などを修正へ

　Microsoftは米国時間4月11日、月例パッチサイクルの一環として、WindowsおよびOfficeの脆弱性を修正するパッチを含む5件のセキュリティ情報を発表する。

　Microsoftが米国時間4月6日にウェブサイトに掲載した告知には、11日に発表するセキュリティ警告のうち少なくとも1件が、同社の危険度評価基準では最高ランクの「緊急」に設定されていると記されていた。Microsoftでは、ユーザー側の特別な操作を必要とせずに、悪質なインターネットワームを拡散させるようなセキュリティ上の脅威を「緊急」と評価している。

　11日のセキュリティ情報のうち1件は、ウェブブラウザ「Internet Explorer」に関係している。Microsoftによれば、同アップデートは、「CreateTextRange」脆弱性として知られる問題に対する修正を含む複数のパッチを提供する包括的なものになるという。11日にリリースされるパッチが修復対象とするその他の問題の詳細や、修復が施される脆弱性の数は明らかになっていない。

　IEに未修正の脆弱性が複数存在することは、セキュリティ研究者らによってすでに指摘されていた。専門家は、CreateTextRangeのバグはとりわけ危険性が大きいと考えている。この欠陥は、悪質なウェブサイトが、スパイウェアやリモートコントロールソフトウェア、トロイの木馬を脆弱なPCにインストールするのに悪用されるおそれがあるという。同バグに対してはサードパーティが、暫定的なパッチを提供している。

　Microsoftは、月例パッチリリースを実施する11日に、「Windows Malicious Software Removal Tool」のアップデート版も発表する意向だ。同ソフトウェアを利用すると、コンピュータに侵入する悪質なコードを検知し、削除することができる。

　4月のパッチリリースでは、IEが「ActiveX」コントロールと呼ばれるウェブプログラムを処理する方法にも変更が加えられる。こうした調整が行われる背景には、Microsoftと、カリフォルニア大学が後援する新興企業との間で久しく争われてきた、特許に関する紛争が横たわっている。この変更によって、IEが特定のサイトを表示する方法も変わることになる。

　ActiveXの変更に対応するための猶予が必要なユーザーは、そうした変更を2カ月の間無効にする特別なパッチをダウンロードできる。Microsoftによれば、この「調整用パッチ」は、ActiveXを用いるアプリケーションを自社で開発し、使用している企業に向けたものだという。