4月のMS月例セキュリティパッチを総括――ActiveXコントロールの動作に影響(1/2 ページ)
Microsoftは2006年4月の月例パッチで、「緊急」レベル3件、「重要」レベル、「警告」レベル各1件の修正プログラムを公開した。緊急レベルのうち1つは、既に流布している攻撃に対応する。IEの累積更新プログラムは、できるだけ早期に適用する必要があるだろう。
2006年4月のMicrosoftの月例セキュリティアップデートでは、「緊急」レベルの修正プログラムが3件と、「重要」レベル、「警告」レベルの修正プログラムが各1件公開された。緊急レベルの修正プログラムのうち1つは、Internet Explorer(IE)用の累積更新プログラムで、既に流布している攻撃に対応するパッチのほか、最近の特許訴訟に伴い、IEでのActiveXコントロールの動作を変更するためのパッチも含まれている。攻撃に対応するパッチの適用は必要だが、ActiveXの動作の変更に対応できる状態にないユーザーもいることから、次の累積セキュリティ更新プログラムのリリースまで、一時的にActiveXの動作を元に戻す二次的な修正プログラムも提供されている。
3件の緊急レベルの修正プログラム、早期の適用が必要
IE用の累積セキュリティ更新プログラムは、合計で10件の脆弱性に対応する。10件の内訳は、攻撃者がシステムをリモートから完全に制御できてしまう可能性があるコード実行の脆弱性が8件、情報漏えいの脆弱性が1件、なりすましの脆弱性が1件である。
この累積更新プログラムについては、可能な限り早期に適用する必要があるだろう。同更新プログラムによりcreateTextRangeメソッドの脆弱性が修正されるが、この脆弱性を悪用した攻撃が既に流布しているからだ。ただし、このプログラムを適用すると、IEのActiveXコントロールの処理方法も変更されることに注意が必要だ。これはEolas訴訟の裁定に従うための措置で、同更新プログラムの適用後は、各ActiveXコントロールをクリックまたはキーボードからのキー操作により手動で有効にしないと、ActiveXコントロールが機能しなくなる。しかし中には、セキュリティ上の脆弱性のみを修正し、ActiveXの動作変更については対応準備が整うまで保留を望むユーザーもいることから、次の累積セキュリティアップデート(6月公開予定)までActiveXの変更を無効にする修正プログラムも合わせて提供されている。
2006年4月のMSセキュリティパッチ
| セキュリティ情報/セキュリティアドバイザリ | 深刻度 | 影響を受けるソフトウェア | サポート技術情報 | このパッチにより置換される過去の更新プログラム |
|---|---|---|---|---|
| MS06-013:Internet Explorer用の累積的なセキュリティ更新プログラム | 緊急 | Windows、 IE |
912812 | MS05-054 MS06-004 |
| MS06-014:Microsoft Data Access Components(MDAC)の機能の脆弱性により、コードが実行される可能性がある | 緊急 | Windows | 911562 | |
| MS06-015:Windowsエクスプローラの脆弱性により、リモートでコードが実行される | 緊急 | Windows | 908531 | MS05-016 MS05-008 |
| MS06-016:Outlook Express用の累積的なセキュリティ更新プログラム | 重要 | Windows | 911567 | MS04-018 MS05-030 |
| MS06-017:Microsoft FrontPage Server Extensions の脆弱性により、クロスサイト スクリプティングが起こる | 警告 | Windows、 FrontPage Server Extensions、 SharePoint Team Services 2002 |
917627 | MS05-006 |
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。