MS月例パッチが公開、ゼロデイ攻撃につながる脆弱性に対処

7月の月例更新プログラムでは、既に攻撃が発生しているDirectShowの脆弱性やVideo ActiveX Controlの脆弱性を解決した。

» 2009年07月15日 07時38分 公開
[ITmedia]

 米Microsoftは7月14日(日本時間15日)、事前に通知した通り6件のセキュリティ情報を公開した。深刻度が最も高い「緊急」レベルはこのうち3件で、既にゼロデイ攻撃が発生しているDirectShowの脆弱性などに対処した。

 DirectShowのセキュリティ更新プログラム(MS09-028)では3件の脆弱性に対処した。このうち1件は既に情報が公開され、攻撃コードが出現。細工を施したQuickTimeメディアファイルをユーザーが開いた場合、リモートでコードを実行される恐れがある。OSはWindows 2000、Windows XP、Windows Server 2003が深刻な影響を受ける。

 Video ActiveX Controlの脆弱性(MS09-032)も7月上旬に発覚し、Webサイトに悪用コードを仕込むゼロデイ攻撃が多発していた。細工を施したWebサイトをInternet Explorer(IE)で閲覧してActiveXコントロールが開始されると、リモートからコードを実行される可能性がある。Windows XPでは特に危険度が高い。

 「緊急」レベルの更新プログラムのうち、残る1件(MS09-029)はEmbedded OpenTypeフォントエンジンに存在する2件の脆弱性を解決した。こちらはいずれも非公開で報告されたもので、現時点で悪用は確認されていない。Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008が影響を受け、いずれも危険度は深刻なレベル。

 一方、「重要」レベルの更新プログラム3件は、それぞれVirtual PC/Virtual Serverの特権昇格問題(MS09-033)、ISA Server 2006の特権昇格問題(MS09-031)と、リモートからのコード実行につながるOffice Publisher 2007 SP1の脆弱性(MS09-030)に対処した。

 なお、Microsoftは7月13日にもMS OfficeコンポーネントのActive Xコントロールに関するゼロデイの脆弱性情報を公開しているが、今回の月例アップデートにはこの脆弱性を修正するパッチは含まれていない。当面の回避策をアドバイザリーで紹介し、ユーザーに注意を呼び掛けている。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ