MSセキュリティパッチ公開、IEやWordの深刻な脆弱性を修正

10月の月例更新プログラムは緊急が4件、重要が2件。IEやWordの脆弱性の一部は、事前に情報が公開されたり実際の悪用が確認されている。

» 2007年10月10日 07時54分 公開
[ITmedia]

 米Microsoftは10月9日、月例のセキュリティ更新プログラム6件を公開した。内訳は、最大深刻度「緊急」レベルが4件と、「重要」が2件。事前通知では7件と発表していたが、うち1件は直前で品質問題が見つかったため、公開を中止したという。

 緊急レベルのパッチうち、Internet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS07-057)は、4件の脆弱性を修正している。IE 6や7が影響を受け、Windows Vistaで動作するIE 7でもリスクは大きい。

 これら脆弱性を悪用されると、細工を施したWebページをIEで表示させることにより、リモートでコードを実行される恐れがある。脆弱性4件のうち1件は今年2月に情報が公開されているが、悪用は確認されていないという。

 Wordのメモリ破損の脆弱性に対処したパッチ(MS07-060)は、Office XP SP3とOffice 2004 for Macが影響を受ける。細工を施したWordファイルをユーザーが開くとリモートでコードを実行される可能性があり、実際にこの問題を悪用したターゲット型エクスプロイトが存在するという。

 Outlook Express/Windowsメール用の累積的なセキュリティ更新プログラム(MS07-056)では、ネットワークニュース転送プロトコルに存在するメモリ破損の脆弱性に対処した。主にOutlook Express 6が深刻な影響を受ける。Windows Vistaで動作するWindowsメールの深刻度は重要レベルとなっている。

 残る緊急レベルの1件(MS07-055)は、Kodak Image Viewerの脆弱性により、リモートでコードが実行される問題に対処した。脆弱性が存在するのはWindows 2000を実行しているコンピュータのみだが、Windows 2000からアップグレードしたWindows XPとWindows Server 2003も影響を受ける可能性があるという。

 一方、重要レベルのパッチはRPC(Remote Procedure Call)のサービス妨害の脆弱性(MS07-058)と、Windows SharePoint Services 3.0およびOffice SharePoint Server 2007の権限昇格の脆弱性(MS07-059)に対処した2件となる。このうちMS07-059の問題は、今年5月からエクスプロイトが公開されているという。

 また、月例パッチと併せ、悪意のあるソフトウェアの削除ツール更新版と、セキュリティ以外の更新プログラムをMicrosoft Update(MU)およびWindows Server Update Services(WSUS)経由で3件、Windows Update(WU)経由で1件公開する。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ