マイクロソフトは、「セキュリティ・アドバイザリ:917077」で説明しているInternet Explorer(IE)の脆弱性を解消するセキュリティ修正プログラムを、4月12日の月例修正プログラムのリリース日よりも前に提供する可能性を明らかにした。また、そのセキュリティ修正プログラムには、すでに「サポート技術情報:912945」として提供しているActiveXコントロールの処理方法を変更する修正が含まれることも明確にしている(2006/03/08日付け配信のHotFix
Weeklyで既報。MicrosoftとEolas Technologiesとの特許侵害訴訟対応)。
この修正を適用すると、Flash PlayerなどのActiveXコントロールを呼び出す際に、クリックを求めるメッセージが表示され、従来は不要だったクリックが必要となる。これにより、ActiveXコントロールを利用するWebアプリケーションの挙動が変わる可能性がある。
・セキュリティ・アドバイザリ 917077(HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、リモートでコードが実行される):
http://www.microsoft.com/japan/technet/security/advisory/917077.mspx
・セキュリティ・アドバイザリ 912945(Internet Explorer 用のセキュリティ以外の更新プログラム):
http://www.microsoft.com/japan/technet/security/advisory/912945.mspx
・サポート技術情報 912945(Internet Explorer の ActiveX 更新プログラム):
http://support.microsoft.com/default.aspx?scid=kb;ja;912945
・HotFix Weekly 2006/03/08日付け(マイクロソフトがIE 6のActiveXコントロールの呼び出し方を変更する修正プログラムを提供):
http://www.hotfix.jp/archives/alert/2006/news06-0308.html#01
「セキュリティ・アドバイザリ:917077」によれば、このIEのセキュリティ修正プログラムと同時に、ActiveXコントロールの呼び出し方を従来方式に戻す(表示にクリックを必要としない)ための「Compatibility
Update(互換性維持のための更新プログラム)」を提供するとしている。これは、ActiveXコントロール呼び出しの仕様が変更されることで、業務アプリケーションなどに影響が生じ、ユーザーが混乱するのを避けるためである。ただし、この機能は4月に提供されるIEのセキュリティ修正プログラムに対してのみ有効とのことだ。その後にリリースされるIEの修正プログラムを適用すると、たとえCompatibility
Updateが適用済みでも、必ずActiveXコントロールを呼ぶ出す際にクリックが必要となる。なお、このActiveXコントロールの呼び出し方が変更されるのは、Windows
XP SP2とWindows Server 2003 SP1のみである。
業務アプリケーションなどでActiveXコントロールを利用している場合で、4月に提供されるIEの修正プログラムをWindows XP SP2/Windows
Server 2003 SP1に適用した結果、挙動変更による何らかの不具合が発生した場合には、同時に提供されるCompatibility Updateを適用すれば不具合を解消できる。ただし前述のとおり、その次のIEの修正プログラムを適用すると、Compatibility
Updateの効果はなくなるので、社内への告知は徹底する必要がある。またホームページにFlashやSun Javaなどを利用している場合は、呼び出し方法を変更するなどの対策を、至急実施した方がよいだろう。対策方法については以下のページを参照していただきたい。
・MSDN Internet Explorer デベロッパー センター(Internet Explorer の変更に関する開発者向け情報)
http://www.microsoft.com/japan/msdn/ieupdate/
|