ニュース
» 2006年04月20日 07時00分 UPDATE

4月のMS月例セキュリティパッチを総括――ActiveXコントロールの動作に影響 (1/2)

Microsoftは2006年4月の月例パッチで、「緊急」レベル3件、「重要」レベル、「警告」レベル各1件の修正プログラムを公開した。緊急レベルのうち1つは、既に流布している攻撃に対応する。IEの累積更新プログラムは、できるだけ早期に適用する必要があるだろう。

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 2006年4月のMicrosoftの月例セキュリティアップデートでは、「緊急」レベルの修正プログラムが3件と、「重要」レベル、「警告」レベルの修正プログラムが各1件公開された。緊急レベルの修正プログラムのうち1つは、Internet Explorer(IE)用の累積更新プログラムで、既に流布している攻撃に対応するパッチのほか、最近の特許訴訟に伴い、IEでのActiveXコントロールの動作を変更するためのパッチも含まれている。攻撃に対応するパッチの適用は必要だが、ActiveXの動作の変更に対応できる状態にないユーザーもいることから、次の累積セキュリティ更新プログラムのリリースまで、一時的にActiveXの動作を元に戻す二次的な修正プログラムも提供されている。

3件の緊急レベルの修正プログラム、早期の適用が必要

 IE用の累積セキュリティ更新プログラムは、合計で10件の脆弱性に対応する。10件の内訳は、攻撃者がシステムをリモートから完全に制御できてしまう可能性があるコード実行の脆弱性が8件、情報漏えいの脆弱性が1件、なりすましの脆弱性が1件である。

 この累積更新プログラムについては、可能な限り早期に適用する必要があるだろう。同更新プログラムによりcreateTextRangeメソッドの脆弱性が修正されるが、この脆弱性を悪用した攻撃が既に流布しているからだ。ただし、このプログラムを適用すると、IEのActiveXコントロールの処理方法も変更されることに注意が必要だ。これはEolas訴訟の裁定に従うための措置で、同更新プログラムの適用後は、各ActiveXコントロールをクリックまたはキーボードからのキー操作により手動で有効にしないと、ActiveXコントロールが機能しなくなる。しかし中には、セキュリティ上の脆弱性のみを修正し、ActiveXの動作変更については対応準備が整うまで保留を望むユーザーもいることから、次の累積セキュリティアップデート(6月公開予定)までActiveXの変更を無効にする修正プログラムも合わせて提供されている。

2006年4月のMSセキュリティパッチ

セキュリティ情報/セキュリティアドバイザリ 深刻度 影響を受けるソフトウェア サポート技術情報 このパッチにより置換される過去の更新プログラム
MS06-013:Internet Explorer用の累積的なセキュリティ更新プログラム 緊急 Windows、
IE
912812 MS05-054
MS06-004
MS06-014:Microsoft Data Access Components(MDAC)の機能の脆弱性により、コードが実行される可能性がある 緊急 Windows 911562  
MS06-015:Windowsエクスプローラの脆弱性により、リモートでコードが実行される 緊急 Windows 908531 MS05-016
MS05-008
MS06-016:Outlook Express用の累積的なセキュリティ更新プログラム 重要 Windows 911567 MS04-018
MS05-030
MS06-017:Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる 警告 Windows、
FrontPage Server Extensions、
SharePoint Team Services 2002
917627 MS05-006
       1|2 次のページへ

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -