2006年8月のMicrosoftの月例セキュリティアップデートでは、緊急レベルと重要レベルを合わせて合計12件の修正プログラムがリリースされた。緊急パッチの中には、米国国土安全保障省が早急な適用を呼びかけているWindowsの脆弱性に対応するパッチも含まれている。
2006年8月のMicrosoftの月例セキュリティアップデートでは、WindowsおよびOfficeの脆弱性に対応する「緊急」レベルの修正プログラムが9件、「重要」レベルの修正プログラムが3件の合計12件の修正プログラムがリリースされた。そのうち、重要なWindowsネットワーク関連サービスの脆弱性に対応する修正プログラムについては、米国国土安全保障省(U.S. Department of Homeland Security)が早急な適用を呼びかけている。
2006年8月にリリースされた緊急レベルの修正プログラムの1つは、Windows Serverサービスの未チェックバッファに関するものだ(MS06-040)。名前は“Server”サービスだが、これは実際にはWindowsのサーバ版だけでなくクライアント版にも組み込まれており、リモートプロシージャコール(RPC)、ネットワーク経由でのファイル、プリンタ、名前付きパイプの共有をサポートする。同サービスは通常、ユーザーがローカルのリソースを共有し、ネットワーク上の他のユーザーがそのリソースにアクセスできるようにしている場合に実行される。
この修正プログラムは、早急に適用する必要がある。既にエクスプロイトコードが流通しているため、このプログラムが対応するServerサービスの脆弱性が悪用されると、攻撃者によりコンピュータが完全に制御されてしまう可能性がある。Windows Serverサービスの修正プログラムは、これまでも何度もリリースされているが、これで今月も新たに1件がリリースされることになった。
流通しているエクスプロイトコードを考えると、ほかにも2件の修正プログラムを早急に適用する必要がある。1つはPowerPointの脆弱性に対応するMS06-048で、もう1つはVisual Basic for Applicationsの脆弱性に対応するMS06-047である。
Visual Basic for Applications(VBA)に存在するリモートコード実行の脆弱性は、VBAを使用するアプリケーションがドキュメントを開く動作に関係するもので、この脆弱性が悪用されると、攻撃者が完全にシステムを制御できてしまう可能性がある。VBAを使用すると、実行可能プログラムと比べて作成やインストールが容易な新しいアプリケーションの開発や、異なるアプリケーションの統合、スクリプトを使用した既存のアプリケーション機能の自動化が可能だ。
VBAを利用するアプリケーションとして最もよく知られているのはOfficeスイートに含まれる幾つかの製品だが、Microsoftは他のソフトウェアメーカーにもVBAをライセンス供与している。VBA SDKに脆弱性が存在するため、VBAを使用するMicrosoft以外のメーカーのアプリケーションにもこの修正プログラムは適用が必要だ。
Microsoftは、公式なセキュリティ情報にはβ製品に関する情報を掲載していない。しかし、Windows Vistaを利用している場合は、別途用意されているサポート技術情報の記事を参照し、Vistaにも影響する脆弱性がないかを確認する必要がある。
2006年8月にリリースされた緊急レベルのWindowsアップデートうち2件(MS06-042およびMS06-051)は、Vistaのβ2以降に影響する。Microsoftによると、これら2件が対応する脆弱性は公式なセキュリティ情報には含まれていないが、アップデートプログラム自体はWindows Updateにリリースされており、Microsoftダウンロードセンターから入手可能だ。
また、今回の月例パッチのリリース後に、Windows XP SP1またはWindows 2000 SP4を実行するコンピュータにInternet Explorerの累積修正プログラムを適用した場合に問題が発生していることが発表されている。IEの累積修正プログラムをインストールすると、HTTP 1.1プロトコルと圧縮機能を併用しているWebサイトを参照すると、IEが予期せず終了する場合があるという。この修正プログラムに対する修正プログラムは、既にリリースされている。
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.