2004年02月04日(水) 09時29分

MS、IE緊急パッチの「副作用」に注意呼びかけ（ITmediaエンタープライズ）

　マイクロソフトは2月3日、Internet Explorer（IE）に存在したURL詐称を含む3種類の脆弱性を修正する累積パッチ（MS04-004）を臨時に公開した。

　ただこの累積パッチは、認証情報の受け渡しに関するIEの挙動を変更させるものである。このため同社はナレッジベースの記事を更新し、Webアプリケーション開発者向けに情報を公開している。

　このナレッジベースの中でマイクロソフトは、「IntenetSetOption」関数と「IAuthenticate」インタフェースを利用するか、Cookieを使用してユーザーの状態を管理するよう推奨している。このWebページからさらなる詳細情報に飛ぶこともできるが、これらはまだ英文のままだ。

　また、このパッチを適用することにより、ベーシック認証で用いるユーザー名とパスワードをURLの中に含めることができなくなる。つまりユーザーは、別途表示されるダイアログウィンドウの中でこれらの情報を入力することになるのだが、ここに不具合が生じているようだ。

　この入力ウィンドウには、「このパスワードを保存する」というチェックボックスが用意されている。このチェックをオンにすると、本来ならばこれらの認証情報が保存され、後のアクセス時には再度入力を行うことなくログインできるのだが（セキュリティポリシーによってはこうした挙動は受け入れがたいかもしれない）、MS04-004のパッチを適用すると、記録したはずのパスワードが表示されないことがあるという。

　マイクロソフトはトラブル・メンテナンス情報の中でこの問題について注意し、解決策を紹介している。いちどIEの画面すべてを閉じた後、IEを2つ起動し、2番目に起動したIE、ユーザー名とパスワードの入力を行うダイアログボックスを再度表示させると解決できるということだ。

　なおマイクロソフトによると、Secuniaなどが先に指摘していたフォルダ詐称や拡張子詐称の問題については、現在なお調査中という。

http://www.itmedia.co.jp/enterprise/ （ITmediaエンタープライズ）

http://headlines.yahoo.co.jp/hl?a=20040204-00000006-zdn_ep-sci