MSの月例アップデート、Outlook Expressの脆弱性などに対応

[ITmedia]

　Microsoftは4月13日、月例のセキュリティアップデートをリリースした。Outlook Expressに関する脆弱性への対応など「緊急」レベルの修正プログラム3件と、「重要」レベルの修正プログラム1件を提供している。

　Microsoftによると、このうちOutlook Express 5.5／6に影響する緊急の脆弱性は、特別な細工がされたMHTML URLの処理方法に存在し、リモートでコードを実行される恐れがある。これを悪用されるとコンピュータ上のファイルにアクセスされ、完全に制御されてしまう可能性がある。コンピュータ上でOutlook Expressがデフォルトの電子メールプログラムになっていない場合もこの問題は起こり得るとしている。

　一方、LSASSなどに関する緊急の脆弱性は、悪用されるとプログラムのインストール、データの表示、変更、削除、完全な特権を持つアカウントの新規作成などが可能になり、コンピュータが完全に制御されてしまう可能性がある。影響を受けるのは、Windows NT Workstation 4.0／Server 4.0／Server 4.0, Terminal Server Edition／Windows 2000／XP／Windows Server 2003／Microsoft NetMeeting。

　RPC／DCOM用の累積的な修正プログラムでは、RPCランタイムライブラリに関する緊急の脆弱性などに対応。この脆弱性は、特別な細工を施したメッセージをRPCランタイムライブラリが処理する際に発生する競合状態から起こるもので、悪用されると被害者のコンピュータ上で任意の操作を実行される恐れがあるという。

　RPCの脆弱性の影響を受けるのは、Windows NT Server 4.0／Workstation 4.0／Server 4.0, Terminal Server Edition／Windows 2000／XP／Windows Server 2003。Microsoftによれば、この脆弱性に関して直接の被害はまだ報告されていないが、悪用される可能性は高いと見られる。