マイクロソフト(株)は20日、Windowsでスクリプトコードを実行する“Windowsスクリプトエンジン”の脆弱性に対する修正プログラムの提供を開始した。スクリプトコードは、ウェブページに機能を追加したり、OSやプログラム内でタスクを自動化したりするために利用されるもので、“Visual Basicスクリプト”(英語情報)や“JScript”(英語情報)など複数のスクリプト言語で記述できる。
今回対象となる脆弱性があるのは、JScript(英語情報)用のWindowsスクリプトエンジンで、攻撃者が脆弱性を利用して作成したウェブページをユーザーが閲覧した際に、ユーザーの権限で攻撃者の任意のコードが実行される可能性があるという。ただし、Internet Explorer の場合、アクティブスクリプトを無効に設定してあれば影響はないとしている。また、攻撃者から送信されたHTML形式の電子メールも対象となるが、Outlook Express 6/Outlook 2002を既定の構成で使用するか、Outlook 98/2000に『Outlook電子メールセキュリティアップデート』をインストールしてあれば影響はないとしている。
対象となるOSはWindows 98/98 SE/Me/NT 4.0/NT 4.0 Terminal Server Edition/2000/XPで、それ以前のバージョンに関してはサポート対象外のため、影響は不明としている。Windows NT 4.0 Terminal Server Edition以外は、修正プログラムを“Windows Update”からインストールできる。
