2003年08月21日(木) 15時00分

マイクロソフト、今度はIE上の重大な欠陥を警告（CNET Japan）

　米Microsoftは20日(米国時間)、PCユーザーに対しInternet Explorer(IE)とWindowsに存在する重大なセキュリティ上の欠陥を警告した。

　Microsoftは今までに公表されたいくつかの脆弱性を修正するIE用の累積的な修正パッチを公開した。また同社製SQL Serverソフトウェアに関する、多くのWindowsユーザーにも実質的な影響がある欠陥についても指摘し、アドバイス情報を再公開した。

　パッチをあてていないユーザーは、悪意のあるウェブページ閲覧や、ウイルス感染を広めるコードが含まれているHTML形式の電子メール受信により、コンピュータが感染する危険がある、とMicrosoftセキュリティレスポンスセンターのセキュリティプログラムマネージャーを務めるStephen Toulouseは言う。

　「IE用深刻度の4段階評価システム上、Windows 2003を除いた全てのオペレーティングシステム(OS)において、これは[緊急]評価だ」とToulouseは語る。この評価は同社の警告評価上、最も深刻なレベルである。一方、最新OSであるWindows 2003では、4段階中の最も軽微なものから2番目の[警告]評価となっている。

　だが、いくら緊急評価の欠陥でも、これら最近の脆弱性は、ワーム作成者の餌食になる可能性は薄い。その攻撃者が所有するウェブページにまずアクセスしないと、被害も生じないためだ。

　IEの脆弱性は、ウェブ閲覧の際に送られてくるウェブサーバからのデータ内容の種類を確認する仕様になっていないことが関連している。Microsoftが そのアドバイス情報の中で触れている ように、IEブラウザーが持つクロスドメインセキュリティモデルの欠陥が原因している。

　今回の もう1つの重大な脆弱性 は、全てのWindowsバージョンに影響を与えるもので、MicrosoftのSQL Serverの脆弱性の問題と考えられたが、実際にはどのWindowsにも含まれているMicrosoft data access component (MDAC)の欠陥だった。Windows 2003のデフォルト状態ではこの脆弱性を持つソフトウェアはインストールされない。だが、ユーザーがそのプログラムをダウンロードし追加インストールが可能なため、脆弱性の問題が生じる危険がある。

　一方、これら重大な危険性を持つ脆弱性が指摘されている中でも、Windows 2003への影響が比較的軽度なのは明るい希望だとMicrosoftのToulouseは指摘する。「これは(Microsoftが提唱する）『Trustworthy Computing』による進歩を示していると思う。OSの初期設定はよりセキュアになっている」(Toulouse)

関連記事：
「よい」ワームと悪いウイルスで企業ネットワークにダブルパンチ
大量の電子メールを送りつけるSobigウイルスの強力な新亜種が登場
パッチを充てて自己消滅するMSBlast亜種ワーム

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

海外CNET Networksの記事へ

【CNET Japanニューズレター】（無料）
最新ニュースを毎朝メールでお届けします。お申し込みはこちらから。

[CNET Japan]
http://japan.cnet.com/ （CNET Japan）

http://headlines.yahoo.co.jp/hl?a=20030821-00000005-cnet-sci