悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2002年11月21日(木) 21時52分
IE用累積パッチも同時にリリース、しかしこれだけで安心は禁物(ZDNet)マイクロソフトは11月21日、Internet Explorer(IE)向けの累積的な修正プログラム(MS02-066)を公開した。同社がIE向けにこうした累積パッチを提供するのは、2002年に入ってから通算4度目のこととなる。この累積パッチは、今年8月に公開された累積パッチ「MS02-047」で修正された問題に加え、新たに6種類のセキュリティホールに対処するものだ。 この中には、PNG形式の画像処理に問題があり、バッファオーバーフローが引き起こされる可能性があるという問題や、フレーム/フレームタグに潜むクロスサイトスクリプティングのセキュリティホールを悪用し、ローカルコンピュータゾーンでスクリプトを実行されてしまう問題などが含まれている。この結果、最悪の場合には、意図しないアプリケーションやスクリプトが攻撃者によって実行させられたり、個人情報が漏洩してしまう可能性がある。 同社は先日、セキュリティ警告情報の提供方法を改め、評価システムを4段階に修正している。新評価システムにおける最大の深刻度、「緊急」にランクされた内容はないとはいえ、「重要」とされたものが4つ含まれているため、速やかにパッチを適用しておきたい。累積パッチは同社Webサイト、もしくはWindows Updaateより入手できる。 パッチが対象とするのはIE 6および6 Service Pack 1、IE 5.5 Service Pack 2とIE 5.01 Service Pack 3だ。ただしIE 5.01についてはWindows 2000上で稼働するものに限られる。 なおMS02-066とほぼ同時に、Internet Information Services(IIS)やIE、Windows OS(XP以外)など広範なプラットフォームに影響を与える、MDAC(Microsoft Data Access Component)のセキュリティホール(MS02-065)が発見され、対応方法とパッチが公開されている。 マイクロソフトに確認したところ、MS02-066の累積パッチの中には、MS02-065の内容が一部含まれているという。ただし、MS02-066はIEのみを対象とした累積パッチであるのに対し、MS02-065は影響を与える範囲が幅広く、IISやWindows XP以外のプラットフォームでも対処が必要となる。このため同社では、MS02-066を適用したうえで、念のためMS02-065も適用するよう推奨しているということだ。 結局は、新しいセキュリティホールが登場するたびに指摘されるセキュリティ対策の基本——「最新のパッチを適用する」「不要なサービスは停止する」といった事柄を、改めて確認すべきということだ。 ネットワーク管理者の立場にあるならば、さらに、ルータやファイアウォールのログを調べ、不審なトラフィックが記録されていないかを確認したり、日本語・英語を問わずセキュリティ情報に気を配り、今回のセキュリティホールが悪用されたケースが登場していないかをチェックするといった対処も求められるだろう。管理下にあるマシンのパッチ適用状況を確認することは、言うまでもない。(ZDNet) |