悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年08月21日(木) 23時11分

Microsoft、IEとWindowsの新しいセキュリティホールを公表MYCOM PC WEB

Microsoftは8月21日、同社Webブラウザ Internet Explorer(IE)に新しいセキュリティホールが存在することを明らかにしたセキュリティ情報「MS03-032: Internet Explorer 用の累積的な修正プログラム (822925)」( http://www.microsoft.com/japan/technet/security/bulletin/MS03-032ov.asp )を公開し、修正プログラムをリリースした。

影響を受けるバージョンは、IE 6.0 for Windows Server 2003、IE 6.0、IE 6.0 SP1、IE 5.5 SP2、IE 5.01 SP3/SP4 for Windows 2000。その他のバージョンのIEについては、すでにサポート提供の対象外ということもあり、同社によるとセキュリティホールの有無をテストしていないという。

今回公表されたセキュリティホールは2つ。

1つは、クロスドメインセキュリティモデルに含まれる脆弱性。IEがブラウザのキャッシュからファイルを取得するために使用するメソッドが悪用されることにより、マイコンピュータゾーンでスクリプトが実行される危険性があるという。最大深刻度は「重要」に指定されている。

もう1つは、IEがWebサーバーから返されたHTTPレスポンスを適切に確認できない脆弱性。この結果、HTTPレスポンスに仕込まれた任意のプログラムをユーザーのコンピュータで実行される可能性があるという。最大深刻度は最高レベルの「緊急」に指定されている。

同社によると、どちらの脆弱性についても対策を実施していないシステムがインターネットなどのネットワークを通じて他のコンピュータと接続している場合、攻撃を受ける可能性があるという。また、悪意のあるユーザーから送られたHTMLメールからも攻撃を受ける可能性があるという。

もし攻撃を受けると、最悪の場合、コンピュータに存在するプログラムを実行されるほか、 ディスク上の任意のファイルが読み取られる(ファイルの削除および変更までは行われない)可能性もあるという。

同社では対策としてセキュリティパッチを公開。パッチはWindows Update( http://windowsupdate.microsoft.com/ )、IEのWebページ「August 2003, Cumulative Patch for Internet Explorer (822925)」( http://www.microsoft.com/windows/ie/downloads/critical/822925/default.asp )、もしくはセキュリティ情報のWebページ( http://www.microsoft.com/japan/technet/security/bulletin/MS03-032ov.asp )からダウンロードできる。

なお、今回の修正プログラムには、これまでIE 5.01/5.5/6.0向けにリリースされたセキュリティホールのセキュリティパッチもすべて含まれており、適用することで過去のセキュリティホールも併せて修正される仕組みになっている。

○Windows XPにもセキュリティホールが発覚

また、同社は同日、Windowsに標準で実装されているコンポーネント群「Microsoft Data Access Components(MDAC)」に新しいセキュリティホールが存在することを明らかにしたセキュリティ情報「MS03-033: Microsoft Data Access Components のセキュリティ アップデート (823718)」( http://www.microsoft.com/japan/technet/security/bulletin/MS03-033ov.asp )を公開し、修正プログラムもリリースした。最大深刻度は、「重要」に指定されている。

対象となるバージョンは、MDAC 2.5/2.6/2.7。MDAC 2.8は対象外となっている。現在のMDACのバージョンを確認する方法については、同社技術情報( http://www.microsoft.com/isapi/gosupport.asp?TARGET=/default.aspx?scid=kb;ja;301202 )で紹介されている。

MDACは、リモートあるいはローカルのデータベースにアクセスするためのコンポーネント群。Windows Me/2000/XP、およびWindows Server 2003の一部に標準でインストールされている。ただし、同社によると、Windows Server 2003には標準でMDAC 2.8がインストールされているため、今回のセキュリティホールの影響を受けないという。

同社によると特定のブロードキャストリクエストを受信した際、一部のMDACコンポーネントの問題により、悪意のあるユーザーからバッファオーバーラン攻撃が行われる可能性があるという。このため、最悪の場合、意図しないアプリケーションを動作させられ、ウィルスの感染、データの削除、トロイの木馬などの実行などの攻撃を受ける可能性もあるという。

同社では対策としてセキュリティパッチを公開。パッチはWindows Update( http://windowsupdate.microsoft.com/ )、もしくはセキュリティ情報のWebページ( http://www.microsoft.com/japan/technet/security/bulletin/MS03-033ov.asp )からダウンロードできる。

ぜひ、該当するユーザーは攻撃を防ぐためにも、できるだけ早急に修正プログラムを適用することをお勧めする。

(ワタリヒカル)

画像はこちら
http://pcweb.mycom.co.jp/news/2003/08/21/16.html

Windows Update
http://windowsupdate.microsoft.com/

Microsoft
http://www.microsoft.com/

(MYCOM PC WEB)

http://headlines.yahoo.co.jp/hl?a=20030822-00000097-myc-sci

最新のニュース記事一覧
お問い合わせ