ニュース
» 2006年11月15日 07時28分 公開

MS月例パッチ、ゼロデイ攻撃の脆弱性に対処

11月の月例セキュリティアップデートではXML Core Servicesの脆弱性やIEの脆弱性に対処した。6件のうち5件が「緊急」レベルとなっている。

[ITmedia]

 米Microsoftは11月14日、月例セキュリティアップデート6件を公開し、ゼロデイ攻撃が発生しているXML Core Servicesの脆弱性や、Internet Explorer(IE)の脆弱性に対処した。最大深刻度は6件のうち5件が「緊急」となっている。

 XML Core Servicesの脆弱性を修正する緊急レベルの更新プログラム(MS06-071)は、XML Core Services(MSXML)4.0/6.0をインストールしているユーザーが対象となる。XML Core Services内部のXMLHTTP ActiveXコントロールにリモートからのコード実行を許す脆弱性が存在し、細工を施したWebページをユーザーが訪れると、攻撃者がシステムを完全に制御することが可能になる。

 この脆弱性を突いたゼロデイ攻撃の拡大も報告されており、Microsoftは11月3日にアドバイザリーを公開して回避策を紹介していた。

 残る5件はWindows関連。IE用の累積的なセキュリティ更新プログラム(MS06-067)では、DirectAnimation ActiveXコントロールのメモリ破損の脆弱性などに対処した。この脆弱性を突かれると、攻撃者が細工を施したWebページを使ってリモートでコードを実行し、コンピュータを完全に制御できてしまう可能性がある。この問題は9月に発覚した時点で実証コードが公開されていた。

 IE累積パッチの対象となるのはWindows 2000 SP4、Windows XP SP2、Windows Server 2003/SP1上で動作するIE 5.01 SP4とIE 6。Windows VistaとIE 7は影響を受けない。

 このほかのアップデートではMacromedia Flash Playerの脆弱性や、Workstationサービスの脆弱性などが修正されている。Workstationサービスの脆弱性では、攻撃者が細工を施したメッセージを送りつけてコードを実行させることができてしまうという。

 なお、Windows XP SP1は10月でサポートが終了したため、今回のセキュリティ更新プログラムの対象にはならない。ユーザーがパッチを適用するにはまずSP2にアップグレードする必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -