月例サイクル外で緊急対処、MS が「IFRAME」パッチを公開

Microsoft (NASDAQ:MSFT) は1日、月例サイクルから外れて修正プログラムを公開し、周囲を驚かせた。リリースしたのは、先月初めに同社の Web ブラウザ『Internet Explorer』(IE) に見つかった IFRAME タグの脆弱性を修正するプログラムだ。同脆弱性は、『Windows XP SP2 適用版』『同 64-Bit Edition Version 2003』『Windows Server 2003』『同 64-Bit Edition』を除く Windows ユーザーが影響を受ける。

この脆弱性については、Microsoft 自身がその深刻度を最大の「緊急」レベルと評価し、影響のあるユーザー全員に直ちに修正パッチを当てるよう促している。

Microsoft はつい先日、月例スケジュールを外れた IE 用セキュリティ修正プログラムの配付について、慎重な姿勢を見せたばかりだった。

同社が修正プログラムと共に公開したセキュリティ情報「Microsoft Security Bulletin MS04-040」は、同修正プログラムで修正できる脆弱性について、その範囲と原因に関する説明も含んでいる。

それによると、脆弱性の原因は「IE が FRAME や IFRAME などの特定の HTML 要素を処理する際の未確認バッファ」にある。これら標準的 HTML 要素は、無数のサイトに普通に存在しているものだという。

そして、悪意を持ったユーザーが脆弱性につけ込んで「プログラムのインストール、データの閲覧/変更/削除、あるいは100％権限を持つ新しいアカウントの作成など、システムを完全に制御しかねない」と説明している。