Microsoftより４月の月例パッチがリリース

Microsoftより、４月の月例パッチがリリースされています。

• 2006 年 4 月のセキュリティ情報

今回の修正点には、Internet Explorerに存在する「緊急」な脆弱性の他、Windowsに存在する「緊急」な脆弱性２件、Outlook Expressの「重要」な脆弱性１件、FrontPageとSharePointのコンポーネントに存在する「警告」レベルの脆弱性１件の修正が含まれているとの事。「Internet Explorer用の累積的なセキュリティ更新プログラム (912812) (MS06-013)」においては、先月末の時点から問題視されていたメソッドの処理方法に起因する脆弱性（DHTMLオブジェクトに予期しない「createTextRange」メソッドが使用されているWebページを表示した際に、Internet Explorerの異常終了を引き起こし、システムメモリの破損、任意のコードの実行を招く可能性があるというもの。仮に管理者権限が取得されてしまった場合には、あらゆる攻撃を可能としてしまう）の修正等が含まれており、この件に関してはMicrosoftに先行してeEye Digital Securityより暫定的な修正パッチがリリースされていた事もその緊急性を煽る要因となっていました。その他にも、

• マルチプルイベントハンドラのメモリ破損の脆弱性
• HTAの実行の脆弱性
• HTML解析の脆弱性
• COMオブジェクトのインスタンス化のメモリ破損の脆弱性
• HTMLタグのメモリ破損の脆弱性
• ２バイト文字の解析のメモリ破損の脆弱性
• スクリプトの実行の脆弱性
• クロスドメインの情報漏えいの脆弱性
• アドレスバー偽装の脆弱性

といった合計10件の脆弱性が修正されています。そしてこのパッチにはMicrosoftがEolas Technologiesやカリフォルニア大学との間で係争中のWebブラウザ特許侵害訴訟に対する賠償責任を回避する事を目的として用意されたActiveX Control関連の変更も含まれており、これと同時に今回の変更への対応を済ませていないWeb開発者に対する暫定的な救済措置としてのパッチも用意されています。

詳細が上記Link（2006年４月のセキュリティ情報）より公開されているので、該当ユーザにおいては確認された方が良いでしょう。結果的に修正パッチの即時リリースは行われず、定例パッチでの修正となりましたが、Microsoftのセキュリティポリシが議論に挙がる中でのこの対応が、適切だったと評価する向きは少ないのではないでしょうか。

【関連Link】

• Mac OS X News & Topics: MicrosoftよりInternet Explorerの機能変更に対する一時的な互換性パッチがリリース
• Mac OS X News & Topics: eEye Digital Securityより、Internet Explorer用の暫定修正パッチが公開
• Mac OS X News & Topics: Internet Explorerのセキュリティホールに対する修正パッチは即時リリースか