9月のMS月例パッチを総括――疑問視されるリリースパッチの質(1/2 ページ)

2006年9月のMicrosoftの月例セキュリティアップデートでは、「緊急」レベル、「重要」レベル、「警告」レベルの修正プログラムが各1件の合計3件の修正プログラムがリリースされた。また、先月のパッチのうち2件が再リリースされたほか、DRM保護解除の問題にも対応している。

» 2006年09月22日 07時00分 公開
[Michael Cherry,Directions on Microsoft]
Directions on Microsoft 日本語版

 2006年9月のMicrosoftの月例セキュリティアップデートでは、WindowsおよびOfficeの脆弱性に対応する「緊急」レベル、「重要」レベル、「警告」レベルの修正プログラムが各1件の合計3件の修正プログラムがリリースされた。

 また、8月の月例アップデートでリリースされた2件の「緊急」レベルの修正プログラムが再リリースされている。そのうちの1件は、これで最初のリリースから1カ月のうちに3度目のリリースとなる。そのほか、デジタルオーディオおよびビデオ用の著作権保護(DRM)機能を回避できてしまう問題に対応する更新プログラムも公開されている。

「緊急」は1件、Publisher 2000、2002への適用は注意が必要

 今月リリースされた緊急レベルの修正プログラムは、スタンドアロンおよび一部のOfficeスイート製品に含まれるMicrosoft Publisherが.PUBファイル(Publisherデータを格納するファイル)を開く方法に存在する脆弱性に対応する。不正な形式の細工された.PUBファイルを開くと、システムメモリが破壊され、攻撃者に任意のコードの実行およびコンピュータの完全な制御を許してしまう可能性がある。ただし、この修正プログラムをPublisher 2000または2002に適用すると、これらのバージョンではPublisher 2.0形式のファイルを開くことができなくなる点に注意が必要だ。

 重要レベルの更新プログラムは、Pragmatic General Multicast(PGM)と呼ばれるネットワークプロトコルに存在する脆弱性に対応する。PGMは、スケーラブルなマルチキャストプロトコルで、受信側でデータロスの検出、不足しているデータの再送要求、取得できなかった不足データについてのアプリケーションへの通知が可能だ。

 PGMはMicrosoft Message Queuing Serviceが使用しているプロトコルの1つである。この脆弱性が悪用されると、完全な管理者権限があるLocalSystemセキュリティコンテキストでリモートからプログラムが実行される恐れがある。

1カ月以内に3度の改訂が発生

 今月の月例アップデートでは、先月の月例アップデートでリリースされた2つの修正プログラムが再リリースされている。1つはInternet Explorer用の累積アップデート(MS06-42)であり、これで初期リリースから1カ月以内に3度目のリリースが行われたことになる。もう1つは、Serverサービスに存在するリモートコード実行の脆弱性に対応するもの(MS06-40)で、2度目のリリースとなる。

 2つの修正プログラムで改訂版をリリースする必要がある(うち1つは、1カ月も経たないうちに既に2度目の改訂となる)ということは、1つの修正プログラムで修正する脆弱性が多すぎるか、脆弱性情報が流布しているために修正プログラムのテストを完了せずにリリースせざるを得ない状況にあったことを示している。いずれにせよ、これが今後さらに修正プログラムのリリースに伴う新たな問題に発展するものかどうか、ユーザーは動向を見守る必要があるだろう。

セキュリティアドバイザリも2件公開

 また、今月の月例アップデートでは、2つのセキュリティアドバイザリも公開されている。1つはセキュリティ問題に関するアドバイザリではなく、一部の“ミニフィルタ”ベースのアプリケーションがMicrosoftのソフトウェア更新サービスの実行を妨げるというバグを修正する。このバグの影響を受けるサービスは、Automatic Update、Windows Update、Microsoft Update、Microsoft Systems Management Server(SMS)2003 Inventory Tool for Microsoft Updates(ITMU)、Software Update Services (SUS) 1.0、Windows Server Update Services(WSUS)2.0である。

 この問題を起こすことが確認されているミニフィルタベースのアプリケーションはファイルサーバーリソースマネージャ(FSRM)の1つだけで、これはWindows Server 2003 R2でしか提供されていない。

       1|2 次のページへ

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ