ニュース
» 2006年03月23日 07時00分 公開

2006年3月のMS月例セキュリティパッチを総括

Microsoftの2006年3月の月例パッチでは、「緊急」レベルと「重要」レベルの更新プログラムが各1件公開された。また、同社は既に公開しているIEの非セキュリティパッチについても適用を呼びかけている。

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 2006年3月の月例セキュリティアップデートでは、「緊急」レベルと「重要」レベルの更新プログラムが各1件公開された。緊急レベルの更新プログラムはOfficeの脆弱性を修正し、重要レベルの更新プログラムはWindowsサービスのセキュリティを強化する。Windowsサービス用の更新プログラムでは、バイナリファイルの置き換えではなく、Windowsの設定が変更されるため、更新プログラム適用後のロールバックは手間がかかる可能性がある。またMicrosoftは、今回の月例アップデートに先立ち公開されているInternet Explorer(IE)の非セキュリティ更新プログラムを未適用のユーザーに対して適用を促した。このIEの更新プログラムはいずれ必ず適用する必要があり、次のIEのセキュリティ更新プログラムに含まれる予定である。

緊急レベルのパッチはOfficeの脆弱性に対応

 今回提供された緊急レベルの更新プログラムは、Officeのリモートコード実行の脆弱性に対応している。これは、更新プログラムを適用していないシステム上でユーザーがある種の細工を施されたファイルを開くと、攻撃者がシステムを完全に制御できる可能性があるという脆弱性だ。細工には、セル範囲や画像を利用した細工などさまざまな形態が考えられる。この脆弱性を狙った攻撃では、Officeの回覧機能やファイル送信機能が悪用される可能性がある。これらの機能では、電子メールメッセージにファイルを添付してユーザー間であらゆる種類のファイルを回覧または送信できる。

 この更新プログラムの適用対象は、Office 2000以降、Office X for Mac、Office 2004 for Mac、Works Suite 2000以降(WorksにはWordがバンドルされているため)である。

重要レベルのパッチはWindowsサービスを強化

 今回提供された重要レベルの更新プログラムは、権限レベルが低い有効なログオン資格情報を有するユーザーにシステムの完全な制御を許してしまう可能性があるという脆弱性に対応する。この脆弱性は、一部のWindowsサービスに対する制限が既定では低すぎることが原因である。この更新プログラムは、該当するサービスのバイナリを更新するのではなく、これらのサービスの随意アクセス制御リスト(DACL)と一部のレジストリキーを変更することでセキュリティを強化する。影響を受けるサービスは、NetBIOS over TCP/IP、Windows動的ホスト構成プロトコル(DHCP)クライアントおよびドメインネームシステム(DNS)クライアント、ユニバーサルプラグアンドプレイ(UPnP)デバイスホストである。この更新プログラムによる変更は、アンインストールプログラムを利用して元に戻すことはできないため、適用前に設定をバックアップしておく必要がある。DACLの設定を更新プログラムの適用前の状態に戻す方法については、Microsoftサポート技術情報の記事914798に詳しい説明がある。

 この更新プログラムは、影響を受ける製品がWindows XP SP1とWindows Server 2003のみであるため、重要レベルに分類されている。またWindows Server 2003では、問題の脆弱性を悪用できるユーザーはNetwork Configuration Operatorsグループのメンバーに限られ、既定ではこのグループにメンバーは含まれていない。

その他の重要な更新プログラム

 2006年3月には、セキュリティアップデートではないが、いくつかの重要な更新プログラムもリリースされている。これには、Office Outlook 2003の迷惑メールフィルタ用の月例アップデートや、Office、Officeの校正ツール、OfficeのMultilingual User Interface Pack用の更新プログラムが含まれる。また、先月に引き続きExchange Server 2003 SP2のIntelligent Message Filterのバージョン2用の更新プログラムも、今月の月例アップデートと合わせて公開されている。

 また、悪意のあるソフトウェアの削除ツールもアップデートされ、新たに3種類のマルウェア(Win32/Atak、Win32/Torvil、Win32/Zlob)を検出および削除できるようになった。

IEの非セキュリティ更新プログラム適用を呼びかけ

 そのほか、Microsoftは将来のIEセキュリティアップデートにおいて、ActiveXコントロールを使用するWebページの処理方法が変更されることを告知している。これは、最近の特許訴訟に伴うもので、この問題に対応する更新プログラム自体はIE用非セキュリティ更新プログラムとして既に公開されている。当該更新プログラムについては、テストおよびインストールを現時点で行っていなくても、いずれは適用が必要になる。

2006年3月のMSセキュリティパッチ一覧

セキュリティ情報 / セキュリティアドバイザリ 深刻度 影響を受けるソフトウェア サポート技術情報 このパッチにより置換される過去の更新プログラム
MS06-012:Microsoft Officeの脆弱性により、リモートでコードが実行される 緊急 Office(Office for Macを含む)、 Works 905413 MS04-033
MS05-012
MS05-035
MS06-003
MS06-010
MS06-011:制限の少ないWindowsサービスのDACLにより、特権が昇格される 重要 Windows 914798 MS05-009
2006年3月の月例セキュリティアップデートでは、「緊急」レベルと「重要」レベルの更新プログラムが各1件公開された。緊急レベルの更新プログラムはOfficeの脆弱性を修正し、重要レベルの更新プログラムはWindowsサービスのセキュリティを強化する。


Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ