4月のMS月例セキュリティパッチを総括――ActiveXコントロールの動作に影響（2/2 ページ）

[Michael Cherry，Directions on Microsoft]

　2つ目の緊急レベルの更新プログラムは、RDS.Dataspace ActiveXコントロールに存在するバグを修正する。これはMicrosoft Data Access Components（MDAC）のコンポーネントで、サーバからクライアントアプリケーションまたはWebページへデータを移動し、クライアント上でこのデータを処理した後、更新したデータをサーバに返すという処理を1回のラウンドトリップで行う際に使われる。このコントロールがWebページに実装されている場合、安全な通信を確保できない場合があり、この脆弱性が悪用されると、攻撃者がシステムを完全に制御できる可能性がある。

　3つ目の緊急更新プログラムは、Windows Explorerを対象としたもので、WindowsシェルによるCOMオブジェクトの処理方法に存在するコード実行の脆弱性に対応する。

重要レベルのパッチはOEのバッファオーバーフローに対応

　今回の月例アップデートでリリースされた重要レベルの修正プログラムは、Outlook Express（OE）のWindowsアドレス帳（.wab）ファイルの処理方法に存在するバッファオーバーフローを修正する。この脆弱性が悪用されると、攻撃を受けたシステムが攻撃者により完全に制御される可能性があるが、ユーザーが細工されたアドレス帳ファイルを開かない限り問題はない。

その他の重要な更新プログラム

　今回の月例アップデートには、警告レベルの修正プログラムも1件含まれている。これは、FrontPage Server Extensionsに存在するクロスサイトスクリプトの脆弱性に対応するもので、この脆弱性が悪用されると、攻撃者がローカルでログオンしているユーザーのコンテキストを使ってスクリプトを実行できる可能性がある。また2006年4月には非セキュリティ更新プログラムも1件リリースされているが、これはMicrosoft Office Outlook 2003の迷惑メールフィルタの月次更新プログラムである。

　そのほか、悪意のあるソフトウェアの削除ツールもアップデートされ、新たに3種類のマルウェア（Win32／Locksky、Win32／Valla、Win32／Reatle）を検出および削除できるようになった。