ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

MSが月例セキュリティ情報を公開、IEやExcelの脆弱性に対処

» 2008年10月15日 08時00分 公開
[ITmedia]

 Microsoftは10月14日(日本時間15日)、11件の月例セキュリティ情報を公開し、IEやExcelの脆弱性に対処した。深刻度の内訳は、事前通知の通りに「緊急」が4件、「重要」6件、「警告」1件となっている。

 緊急レベルの4件は、Active DirectoryとInternet Explorer(IE)、Host Integration Server、Excelの脆弱性にそれぞれ対処するもの。いずれも悪用されるとリモートからコードを実行される恐れがある。

 このうち、IEの累積的なセキュリティ更新プログラム(MS08-058)では6件の脆弱性を修正した。ウィンドウロケーションプロパティのクロスドメインの脆弱性については、既に情報が公開されていた。脆弱性が悪用された場合に、細工を施したWebページをIEで表示することでリモートからコードを実行されたり、情報流出を招いたりする恐れがある。影響を受けるのはIE 5〜7までのバージョンだが、特にIE 5と6の危険度が高い。

 Excelの脆弱性(MS08-057)は3件あり、細工を施したExcelファイルを使って悪用される恐れがある。Mac版を含めExcelの全バージョンが影響を受けるが、特に危険度が高いのはMicrosoft Office Excel 2000となっている。

 Active Directoryの脆弱性(MS08-060)は、Windows 2000 Serverのみに存在する。Host Integration Serverの脆弱性(MS08-059)は、サポート対象の全エディションが深刻な影響を受ける。

 一方、重要レベルの修正プログラム6件では、Microsoft Ancillary Functionドライバ、Windowsカーネル、Windowsインターネット印刷サービス、Server Message Block(SMB)プロトコル、仮想アドレス記述子(VAD)、Windows 2000のメッセージキューサービス(MSMQ)の脆弱性をそれぞれ解決した。

 SANS Internet Storm Centerによると、このうちWindowsインターネット印刷サービスの脆弱性(MS08-062)は問題を悪用したターゲット攻撃が実際に発生しており、サーバの危険度が高いとみられている。

 残る警告レベルの1件は、Officeに存在する情報漏えいの脆弱性(MS08-056)を解決している。

 なお、Microsoftは今月から各脆弱性について悪用コードが開発される可能性の高さを示す「Exploitability Index」(悪用の可能性指標)の公開を開始した。更新プログラム適用の優先度を決める参考にしてもらう狙い。

 同指標では、「1 - 安定した悪用コードの可能性」「2 - 不安定な悪用コードの可能性」「3 - 機能する見込みのない悪用コード」の3段階評価を提供。今月はIE、Excel、Host Integration Server、Windowsカーネル、Windowsインターネット印刷サービス、Ancillary Functionドライバの脆弱性が、更新プログラムを優先適用する必要がある「1」に分類された。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.