ニュース
» 2006年05月23日 07時00分 公開

5月のMS月例セキュリティパッチを総括――Exchange用パッチには要注意(1/2 ページ)

Microsoftは2006年5月の月例パッチで、「緊急」レベル2件と「警告」レベル1件の修正プログラムを公開した。緊急レベルのうち1つはExchange Serverの機能を変更するため、適用後にアプリケーションが正常に機能しなくなる可能性がある。

[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 2006年5月のMicrosoftの月例セキュリティアップデートでは、「緊急」レベルの修正プログラムが2件と「警告」レベルの修正プログラムが1件公開された。緊急レベルの修正プログラムのうち1つは、Exchangeの予定表データの処理方法の脆弱性を修正する。この脆弱性が悪用されると、Exchange Serverが攻撃者により完全に制御されてしまう可能性がある。ただし、この修正プログラムにはほかにもExchangeの機能変更が含まれているため、適用後にアプリケーションが正常に機能しなくなる可能性がある。もう1件の緊急レベルの修正プログラムは、AdobeのFlash Playerに存在する問題を修正するものだが、Microsoftは同ソフトを配布していることから、関連するAdobeの修正プログラムも配布する。

2件の緊急パッチ、Exchange用パッチの適用には注意が必要

 Exchange Server用の緊急レベルの修正プログラムは、CDOEX(Collaboration Data Objects for Exchange)およびEXCDO(Exchange Collaboration Data Objects)に存在するリモートコード実行の脆弱性を修正する。CDOEXおよびEXCDOは、ある種のメッセージをExchange Serverがほかのアプリケーションやサービスに代わり処理するためのプログラムインタフェースを提供するものだ。修正プログラムを適用していないExchange Serverが、細工されたvCAL(Virtual Calendar)またはiCAL(Internet Calendar)プロパティが設定されたメッセージを受信した場合、攻撃者によってExchange Serverが完全に制御されてしてしまう可能性がある。vCALおよびiCALは、Exchangeや電子メールクライアントが予定表関連のデータを送信する場合に使用するMIMEコンテンツタイプである。

 ただし、この5月に公開されたExchange用のセキュリティ修正プログラムは、Exchangeの“送信者”機能も合わせて変更する。このため、適用後に一部のアプリケーションが動作しなくなる可能性がある。送信者機能は、メールボックスの所有者が別のユーザーにメールボックスへのアクセスを許可していた場合に、この別のユーザーが当該メールボックスを送信元とする電子メールを送信できるようにする機能だ。アプリケーションの中には、この機能を利用してユーザーが別のアカウントで電子メールを送信できるようにしているものがある。例えば、johndoe@company.comという電子メールアドレスを持つカスタマーサービスのスタッフJohn Doe氏は、CustomerService@company.comを送信元としたメールを顧客に送信することができる。Microsoftは今回の月例セキュリティアップデートの前に、メールボックスのアカウントおよびアクセス許可をより細かいレベルで管理したいというユーザーの要望に応じて、別のアカウントのメールボックスへのアクセス許可を持つアカウントから、当該メールボックスの所有者が送信者であるように見えるメールを送信できないようにする更新プログラムをリリースしている。ただし、一部の企業ユーザーは、業務プロセスや業務アプリケーションへの影響を考え、この更新プログラムの導入を見合わせていた。この5月のセキュリティパッチに含まれる予定表の脆弱性を修正するプログラムを適用すると、送信者機能も合わせて変更されてしまう。パッチの適用後にユーザーやアプリケーションが別のユーザーやアカウントの“代理で”メールを送信できるようにするには、代理人となるユーザーやアプリケーションに“送信者”アクセス許可を明示的に割り当てる必要がある。

Flash Playerのバグに対応する修正プログラム

 2つ目の緊急レベルの修正プログラムは、Macromedia Flash PlayerのFlashアニメーション(SWF)ファイルの処理方法に存在する2つの脆弱性を修正する。これらの脆弱性が悪用されると、攻撃を受けたコンピュータが完全に制御される可能性がある。

 既にMicrosoftとAdobe(Adobeは2005年12月に長年Flashの開発を手がけてきたMacromediaを買収している)の両社は、これらの脆弱性を含まない新しいバージョンのFlash Playerにアップグレードするようユーザーに呼びかけている。一部のバージョンのWindowsにはFlash Playerがバンドルされていること、一部のユーザーはこの問題が含まれない新しいFlash Playerにアップグレードしていない可能性があることから、Microsoftは今回のセキュリティパッチでWindowsにバンドルされていたバージョンのFlash Playerのバグに対応するAdobeの修正プログラムを配布している。

 なお、複数のバージョンのFlash Playerをインストールおよびアンインストールしている場合、この修正プログラムのインストール時に問題が発生する場合があるが、これを解決するためのサポート技術情報も公開されている。

       1|2 次のページへ

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ