MSが8件の月例パッチを公開、ExcelやWordPadの脆弱性を解決:多くは攻撃コードが出回る
8件のうち5件が「緊急」レベル。既に悪用コードが出回っている問題も多数含まれている。
Microsoftは4月14日(日本時間15日)、予告通り8件の月例セキュリティ情報を公開した。このうち5件は深刻度が「緊急」レベルとなり、ExcelやWordPadの脆弱性など既に悪用コードが出回っている問題も多く含まれている。
緊急レベルの5件は、ExcelとWordPad、WindowsHTTPサービス、DirectShow、Internet Explorer(IE)に存在する任意のコード実行が可能な脆弱性にそれぞれ対処した。
Excelの脆弱性(MS09-009)については既に情報が公開され、この問題を悪用したXLSファイルが電子メールに添付されたり、Webサイトに掲載されたりして出回っている。危険度はOffice 2000が最も高く、ほかのOSでは1段階低い「重要」レベルとなっている。
WordPadとOfficeテキストコンバータの更新プログラム(MS09-010)では4件の脆弱性を解決した。このうち2件は既知の問題。古いファイルフォーマットで保存されたファイルをWordPadとOfficeでロードするために使われているコンバータに脆弱性があり、不正なRTF、WRI、DOCファイルを使ったコンバータへの攻撃が発生している。
Windows HTTPサービスの更新プログラム(MS09-013)で対処した脆弱性では、3件のうち1件の情報が既に公開されて、攻撃ツールが存在する。攻撃者が細工したWebページでユーザーが認証情報を提供してしまった場合、攻撃者がユーザーのローカル環境にログインできてしまう恐れがあり、企業などの管理者権限でこの問題が悪用されると深刻な被害つながる可能性があるという。
IE用の累積的なセキュリティ更新プログラム(MS09-014)では既知の脆弱性2件と、非公開で報告された脆弱性4件に対処した。この中にはApple Safariとの関連で発生する、いわゆる「じゅうたん爆撃問題」も含まれる。なおSafariでは昨年この問題に対処済み。じゅうたん爆撃問題と同様の攻撃を回避する目的から、SearchPathの更新プログラム(MS09-015)では、dll読み込みの順番を変更するSet SearchPath Modeを提供した。Microsoftは、MS09-014とMS09-015を同時に適用するようアドバイスしている。
DirectShowの脆弱性(MS09-011)は非公開で報告された。DirectXに脆弱性があり、細工を施したMJPEGファイルを使って悪用される恐れがある。
残る3件のセキュリティ情報は、「重要」レベルが2件と「警告」レベルが1件。ただし「MS09-012」の更新プログラムで対処したWindowsの脆弱性については既に情報が公開され、「Token Kidnapping」という攻撃手法が昨年3月のハッカーカンファレンスで紹介されている。
悪意のあるソフトウェアの削除ツール(MSRT)では、スパム配信などを行うボット型マルウェアの「Waledac」に対応した。
関連記事
- 4月のMS月例パッチは「緊急」5件を含む計8件
Microsoftは「緊急」レベルの5件を含む、8件のセキュリティ更新プログラムを日本時間の15日に公開する予定だ。 - Excelに未修正の脆弱性、悪用ファイルが日本で発見
Excelの未修正の脆弱性を突いてトロイの木馬を仕込んだ不正なExcelスプレッドシートが日本で見つかっている。 - WordPadコンバーターに未解決の脆弱性、MSがアドバイザリー公開
脆弱性の悪用を狙った「極めて限定的なターゲット型攻撃」も報告されているという。 - Windows版Safariのアップデートが公開
Safari 3.1.2では、以前から指摘されていたWindowsデスクトップの「じゅうたん爆撃」問題など4件の脆弱性を修正した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.