マイクロソフト セキュリティ情報 MS02-023 について

マイクロソフトは 2002 年 5 月 15 日、セキュリティ情報 MS02-023 をリリースしました。これは、Internet Explorer (以下 IE) で確認された、いくつかのセキュリティ上の脆弱性とその問題を排除する修正プログラムの提供についてご案内したものです。同日以降、この修正プログラムとセキュリティ情報について、いくつかのセキュリティ メーリング リストに掲載されました。そこでマイクロソフトは、これらの指摘に対して回答します。

5 月 16 日、このセキュリティ情報でご案内しました最初の脆弱性 (ローカル HTML リソースに存在するクロスサイト スクリプティングの脆弱性) について、以下の 3 点について主張がなされました。

• 主張 1 : このセキュリティ情報に記載されている脆弱性には誤りがある。

  セキュリティ情報の記載内容は正確であり、脆弱性に対する最適な説明方法について見解の相違があると思われます。このセキュリティ情報では、ユーザーへの潜在的な影響面から脆弱性を説明していますが、この観点において、主張者は根本的なソフトウェアの欠陥であると説明すべきと主張しています。

• 主張 2 : このセキュリティ情報は、悪意のあるユーザーがこの脆弱性を悪用するためにはリンクをクリックする必要があるとしているが誤っている。

  この主張は正しく、ユーザーが悪意のあるユーザーの Web サイトにアクセスした途端に、自動的に脆弱性が悪用される可能性があります。マイクロソフトはこれに対応し、セキュリティ情報を訂正しました。

• 主張 3 : この修正プログラムは実際には脆弱性を排除しなかった。

  いいえ。修正プログラムは、セキュリティ情報でご案内しました脆弱性を確実に排除します。この主張者はこの脆弱性の変種について述べており、この変種はマイクロソフトにはこれまで報告されていないものでした。マイクロソフトは現在、新たに報告されたこの問題を調査しています。

5 月 17 日、このセキュリティ情報でご案内している 2 つ目の脆弱性に関する別の主張が掲載されました。これは、スタイル シートのカスケーディングに影響を及ぼす情報漏えいの脆弱性に関してです。主張者は、この修正プログラムが実際にはこの脆弱性を排除しないと述べています。しかし、これも上述の主張 3 と同様に、これまでマイクロソフトに報告されていなかった新しい変種であると思われ、現在調査中です。

2 件の調査結果について間もなく報告できる予定ですが、お客様がシステムのセキュリティを維持できるよう、マイクロソフトは適切な措置を講じていくことをお客様に確約します。それまでは、マイクロソフトはお客様が修正プログラムを適用することを強く推奨します。新たな情報が提供できるようになり次第、TechNet セキュリティ Web サイトや Microsoft Security Newsgroup (英語情報) に掲載していきます。