Microsoft、月例外のセキュリティ情報を公開

Microsoft (NASDAQ:MSFT) は2日、Web ブラウザ『Internet Explorer』(IE) に存在する複数の脆弱性をを修正するため、累積的なセキュリティ修正プログラムを公開した。同修正プログラムの公開は、これまでに何度も先送りになっていた。

今回のセキュリティ情報「MS04-004」の公開は、月例化した同社のセキュリティ情報公開スケジュールから外れるタイミングだが、その理由として、セキュリティ問題の深刻度が最大級の「緊急」という点、複数のメーリングリストで脆弱性の実地利用例がすでに出回っている点を挙げている。

Microsoft によると、IE に今回の修正プログラムを適用することで、3つの脆弱性が解消するという。つまり、詐欺行為を容易にする偽装 URL 問題、悪意のあるコード実行の恐れがある承認ダイアログ無しのファイルダウンロード問題、システムの乗っ取りにつながり得る IE のクロスドメインセキュリティモデルに存在する問題の3点だ。

偽装 URL 問題の詳細は、すでに昨年12月から明らかになっているが、Microsoft は1月も終わろうかという時期に、ようやく対応姿勢を示し、URL 記述による認証機能を無効化することを明らかにしていた。

今回公開する修正プログラムは、『IE 5.01』『IE 5.5』『IE 6.0』が対象となっている。偽装 URL 問題のほかに対応した承認ダイアログ無しのファイルダウンロード問題は、ブラウザのダイナミック HTML イベントでの、関数ポインタを用いたドラッグアンドドロップ操作の実行に関する脆弱性で、Microsoft は、「ユーザーがリンクをクリックすると、ユーザーのシステム内のターゲットとなる場所に、ファイルを保存することができる。その際ダウンロードの承認を求めるダイアログボックスは表示しない」と述べた。同脆弱性についても、1月末にセキュリティ会社から、悪用の恐れがあるとして警告が出ていた。