ニュース

12月のMSアップデートはSONY BMGのDRMも駆除

Microsoftの12月の月例アップデートはIEの脆弱性を修正するほか、SONY BMGのDRMソフトがもたらすセキュリティ問題にも対処する。

　米Microsoftは12月13日、2件のセキュリティアップデート「MS05-054」「MS05-055」をリリースした（関連記事参照）。これらのアップデートには、Internet Explorer（IE）の緊急のセキュリティホールのフィックスと、Windowsマシンに脆弱性をもたらすSONY BMGのプログラムを削除するコードが含まれていると、Microsoftセキュリティ対策センターのセキュリティプログラムマネジャー、ステファン・ツールーズ氏は説明している。

　IEの累積パッチ（MS05-054）には、IEのこれまでのフィックスと、同ブラウザがJavascriptの"Window()"関数呼び出しの処理に使うコードに関する公表済みの脆弱性など新たに発見された4件の脆弱性のパッチが含まれる。

　この脆弱性はIE 5.5および6.xに影響し、当初はサービス拒否（DoS）攻撃への利用に限定された、それほど深刻ではないものと考えられていた。

　しかしMicrosoft社外の研究者によるさらなる分析の結果、攻撃者がこの脆弱性をリモートから利用して、Windowsシステム上で不正コードを実行できることが明らかになったとツールーズ氏は言う。

　ドイツの研究者ベンジャミン・トビアス・フランツ氏が最初にこの脆弱性を発見してから6カ月後の11月21日に、Computer Terrorismと名乗るグループがこの脆弱性を突くコードを公開した（11月22日の記事参照）。

　脆弱性の開示は遅かったものの、Microsoftのスタッフはこの問題のフィックスに急ぎ取り組んだ。この脆弱性は、脆弱なWindowsシステムを乗っ取るWebベースの攻撃に利用される。

　このパッチには、IEの複数のバージョンでのリモートコード実行を可能にするCOM（Component Object Model）の脆弱性、中程度の危険性のファイルダウンロードダイアログボックスの脆弱性とHTTPプロキシの脆弱性のフィックスも含まれるという。

　2つ目のアップデート（MS05-055）には「重要」のレーティングが付けられている。これはWindows 2000 Service Pack（SP）4のコアプロセッシングカーネルのセキュリティホールを修正する。この脆弱性を悪用すると、セキュリティ権限の低いユーザーでも、ログインに成功すればWindows 2000マシンを乗っ取ることができるとツールーズ氏は説明している。

　Microsoftはまた、SONY BMGのXCPアンインストーラがシステムに残すActiveXコンポーネント「CodeSupport」を削除するアップデートもリリースした。First4Internetが開発したCodeSupportは、Webから不正なプログラムをダウンロードしてインストールする攻撃にWindowsマシンをさらすと、プリンストン大学のコンピュータサイエンス教授エド・フェルテン氏は分析している。

　「システムにXCPがインストールされていて、ユーザーが最初のアンインストーラを実行した場合に、今回のアップデートはその（ActiveX）コントロールを削除する」（フェルテン氏）

　Microsoftの不正コード削除ツールは、SONY BMGのXCPをまだ削除していないユーザーが、同プログラムを削除するのに使えると同氏は語る。

　Microsoftユーザーにはこのセキュリティパッチをできるだけ早くダウンロードするよう推奨する。

　IT管理者は各アップデートのFAQセクションを読んで、IEのアップデートが既存のWebサイトの機能と競合するかどうか確認するべきだとツールーズ氏は述べている。

原文へのリンク

[eWEEK]