IE と Outlook Express に新たなセキュリティホール

またもや！ Microsoft Corp. の『Internet Explorer 5.x』と『Outlook Express』の Eメールサービスに、セキュ リティホールが見つかった。

今回は、Active Scripting を無効にしていても、それが実行されてしまうというものだ。これによって、クラッカー は HTML 形式のメッセージを使って、他人のコンピュータにあるファイルを読むことができる。

ソフトウェアトラッカーの間で有名なブルガリア人バグハンター、Georgi Guninski 氏が20日に公表した警告には次のように書かれている。

「たとえ Active Scripting を全てのセキュリティゾーンで無効にしていても、XML と XSL を使えば Active Scripting を実行できる。これは、特に Eメールメッセージにおいて危険だ。Active Scripting の実行自体は典型的 な悪用ではないが、他の機能と結びつけて悪用されるおそれがある。とりわけ Eメール内での不正使用が問題となる」

Guninski 氏はこの警告文の中で、Microsoft には4月18日にこの問題を連絡したと述べている。

同氏はこのバグの危険度を「高」と格付けしており、ブラウザの機能を拡張する設定項目である Active Scripting を無効にして、セキュリティ攻撃を遮断するよう、ユーザーにアドバイスしている。

Microsoft は20日昼、Internet.com の取材に対し、 このバグフィックスを同社の 『Security Bulletin MS01-015』 で提供中だとEメールで回答してきた。バグフィックスは、この中の 『Windows Script Host』脆弱性セクションに入っているという。

訳注：このリンクは米 Microsoft へのリンクです。このリンク先にある情報やパッチが日 本語環境でも有効だという保証はありません。なお、日本でもマイクロソフトが、 この問題の情報を 提供していますので、そちらをご覧ください。

Explorer と Outlook に関する脆弱性の報告は増加傾向にある。Microsoft は『.Net』プラットフォームに横断的に 他システムをつなぐ前に、永久メンテナンスモードに切り替えるのが賢明だろう。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール