8月のMSパッチ、企業ユーザーは緊急3件の適用に留意を

Microsoftが公開した月例セキュリティ情報のうち、ATLやOffice Webコンポーネントの脆弱性など緊急レベルの3件は、企業ユーザーが適用する上で注意が必要だ。

[ITmedia]

　米Microsoftは8月11日（日本時間12日）、9件の月例セキュリティ情報を公開した。最も深刻度の高い「緊急レベル」のうち3件については、対象が広範なため企業ユーザーが適用する上で注意が必要になるという。

　Microsoft ATL（Active Template Library）の脆弱性に関する「MS09-037」は、同社が7月下旬に公開した臨時パッチに関連するもので、今回は同社製コンポーネントに使用されているATLの脆弱性に対処した。対象コンポーネントは、Outlook ExpressとWindows Media Player、DHTML、ActiveXコントロール、Microsoft AT バイナリで、Windows 2000 SP4、XP SP2/SP3、Vista RTM/SP1、Windows server 2003 SP2、2008 RTM/SP2が影響を受ける。

　MS09-037では5件の脆弱性が修正されたが、パッチ公開前にMicrosoft Video ActiveXコントロールの脆弱性を悪用するゼロデイ攻撃が発生した。ATLの脆弱性を悪用する攻撃手法は、現状ではActiveXコントロールを悪用するもののみだが、将来的にほかの手法が出現する可能性もある。ソフトウェアに含まれるコンポーネントのバージョンの種類が多数に上るため、配布や適用作業を手動で行っている企業ユーザーは、確認や作業を適切に行う必要があるとマイクロソフトでは説明している。

　Office Webコンポーネントの脆弱性に関する「MS09-043」では4件の脆弱性に対処したが、このうちHTMLスクリプトの脆弱性では、この脆弱性を悪用した攻撃が確認されている。Office Webコンポーネントは、OfficeドキュメントをWebブラウザで利用するためのものであり、本来はOfficeをインストールしていないユーザー向けの機能となる。今回の脆弱性は、Officeのインストールの有無に関係なく影響する恐れがあり、早期の適用が重要だという。

　リモートデスクトップ接続の脆弱性に関する「MS09-044」では、リモートデスクトップ接続自体とリモートデスクトップ接続のActiveXコントロールに存在する2件の脆弱性を修正した。影響を受けるのは、Windows 2000 SP4、XP SP2/SP3、Vista RTM/SP1、Windows server 2003 SP2、2008 RTM/SP2のリモートデスクトップクライアントのバージョン5.0〜5.2、6.0〜6.1と、Remote Desktop Connection Client for Mac 2.0となる。

　管理用パッケージや再配布用の各バージョンも対象となるため、適用する際にはOS標準のものを含め、対象バージョンを十分に確認する。なお、Windows 2000 SP4では8月10日に公開されたセキュリティアップデートの「KB958471」と「KB958470」を順番に適用させてからパッチを当てる必要がある。

　併せて、認証機能の保護を強化するためのアドバイザリーも公開した。これはクライアントからサーバに提供された統合認証の情報をほかのサーバへ転送する際の処理について、アプリケーションが制御をできるようにする。転送経路上に悪意のあるサーバが置かれた場合に情報を盗み取られる危険性に対処するもので、今後、同機能の詳細情報を開発者などに提供する予定だという。

過去のセキュリティニュース一覧はこちら