Michal Zalewski氏は、Internet Explorer（IE）のオブジェクト・タグの処理に脆弱性が存在し、リモートで任意のコードが実行可能である危険性があることを報告した。

・Bugtraq（MSIE (mshtml.dll) OBJECT tag vulnerability）：
http://www.securityfocus.com/archive/1/431796

　報告によれば、多くのオブジェクト・タグが記述されているHTMLを開くと、mshtml.dllのメモリ破壊の脆弱性によってIEが異常終了するということだ。またこの脆弱性は、任意のコードを実行させることが可能であるとしている。報告にはいくつかの実証コードが紹介されており、最も簡単なのは、以下のようなHTMLコードを連続で32個以上記述するというものだ。DA Labでは、この実証コードをすべての修正プログラムを適用したWindows XP SP1a＋IE 6 SP1とWindows XP SP2＋IE 6 SP2で実行したところ、IEが異常終了することを確認した。またWindows 2000＋IE 6 SP1では、IEの異常終了は起きなかった（この脆弱性は存在しないものと思われる）。

　現時点では、マイクロソフトからこの脆弱性に対する正式な報告や修正プログラムの提供は行われていない。すでに実証コードが公開されていることから、悪用される危険性は高い。不審なWebページは開かないなどの運用上の注意が必要だ。

HotFix Report BBS関連スレッド：
・IE のOBJECTタグ処理にメモリ破壊の脆弱性
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5249

　マイクロソフトは、4月26日（日本時間）にMS06-015の修正プログラムを再リリースし、更新版を提供することを明らかにした。MS06-015の修正プログラムは、Hewlett-Packard製のプリンタなどに付属するユーティリティ「HP Share-to-Web」やNVIDIA製のグラフィックス・ドライバの古いバージョンがインストールされた環境に適用すると、アプリケーションが応答停止するなどの不具合が発生することが明らかになっている。更新版の修正プログラムは、この不具合を解消したものとなる。

・サポート技術情報 918165（セキュリティ更新プログラム MS06-015 のインストール後、エクスプローラまたは Windows シェルで問題が発生することがある）：
http://support.microsoft.com/default.aspx?scid=kb;ja;918165

　ただし更新版の修正プログラムでは、含まれるファイル自体の変更は行わず、「サポート技術情報：918165」に記載されている不具合の回避策（COMコントロールやシェル拡張のCLSIDをレジストリに登録する）を適用時に自動的に実行するものとなるようだ。そのため、HP Share-to-WebとNVIDIA製グラフィックス・ドライバ以外の原因で同様の不具合が発生している場合は、解消されない可能性がある。なお、すでにMS06-015を適用済みの場合でも、更新版の修正プログラムはそのまま適用できるものになると思われる。ただし、不具合が発生していない場合は、更新版を適用する必要はないだろう。

HotFix Report BBS関連スレッド：
・MS06-015 の修正プログラムが再リリースされる予定（MS06-015［緊急］：Windows エクスプローラの脆弱性により、リモートでコードが実行される）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5227#5227

　マイクロソフトは、MS06-013の修正プログラムの適用によってActiveXコントロールの挙動を変更する修正を元に戻し、従来どおりクリックなしでActiveXコントロールによる表示が行なわれるようにする「Internet Explorer用互換性修正プログラム」を再リリースした。「サポート技術情報：917425（英語版）」によれば、更新版の修正プログラムではVisual Basicによって開発されたActiveXコントロールにおける表示の問題を解消した、とのことだ。MS06-013と同時にリリースされた旧版の修正プログラムに比べると、更新版の修正プログラムでは更新対象である「mshtml.dll」のバージョンが上がっている。

・サポート技術情報 917425（Internet Explorer ActiveX compatibility patch for Mshtml.dll）：
http://support.microsoft.com/default.aspx?scid=kb;en-us;917425

・ダウンロード・センター（Internet Explorer 用互換性修正プログラム）：
http://www.microsoft.com/downloads/details.aspx?
FamilyID=16c36301-6110-4945-a02e-88a59745cf4f&DisplayLang=ja（Windows Server 2003 SP1）
http://www.microsoft.com/downloads/details.aspx?
FamilyID=b7d9801b-4fb5-492e-903e-3400abf1d731&DisplayLang=ja（Windows XP SP2）

　前述のサポート技術情報では、旧版の修正プログラムが適用済みでかつ前述の問題が発生していなければ、更新版の修正プログラムを適用しなくてもよいとのことだ。なお、すでに旧版の修正プログラムを適用している環境に対しても、この更新版は適用可能だ。

　ただし修正プログラム本体のファイル名やファイル・バージョン、ダウンロード用URLは、MS06-013と同時にリリースされた旧版と変わっていないので注意が必要だ。以下の情報を元に最新のバージョンをダウンロードし、適用するようにしよう。

HotFix Report BBS関連スレッド：
・互換性パッチ KB917425 が更新（MS06-013［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム）
http://bbs.hotfix.jp/ShowPost.aspx?PostID=5220#5220