ITmedia NEWS >

12月のMSアップデートはSONY BMGのDRMも駆除

» 2005年12月14日 09時27分 公開
[eWEEK]
eWEEK

 米Microsoftは12月13日、2件のセキュリティアップデート「MS05-054」「MS05-055」をリリースした(関連記事参照)。これらのアップデートには、Internet Explorer(IE)の緊急のセキュリティホールのフィックスと、Windowsマシンに脆弱性をもたらすSONY BMGのプログラムを削除するコードが含まれていると、Microsoftセキュリティ対策センターのセキュリティプログラムマネジャー、ステファン・ツールーズ氏は説明している。

 IEの累積パッチ(MS05-054)には、IEのこれまでのフィックスと、同ブラウザがJavascriptの"Window()"関数呼び出しの処理に使うコードに関する公表済みの脆弱性など新たに発見された4件の脆弱性のパッチが含まれる。

 この脆弱性はIE 5.5および6.xに影響し、当初はサービス拒否(DoS)攻撃への利用に限定された、それほど深刻ではないものと考えられていた。

 しかしMicrosoft社外の研究者によるさらなる分析の結果、攻撃者がこの脆弱性をリモートから利用して、Windowsシステム上で不正コードを実行できることが明らかになったとツールーズ氏は言う。

 ドイツの研究者ベンジャミン・トビアス・フランツ氏が最初にこの脆弱性を発見してから6カ月後の11月21日に、Computer Terrorismと名乗るグループがこの脆弱性を突くコードを公開した(11月22日の記事参照)

 脆弱性の開示は遅かったものの、Microsoftのスタッフはこの問題のフィックスに急ぎ取り組んだ。この脆弱性は、脆弱なWindowsシステムを乗っ取るWebベースの攻撃に利用される。

 このパッチには、IEの複数のバージョンでのリモートコード実行を可能にするCOM(Component Object Model)の脆弱性、中程度の危険性のファイルダウンロードダイアログボックスの脆弱性とHTTPプロキシの脆弱性のフィックスも含まれるという。

 2つ目のアップデート(MS05-055)には「重要」のレーティングが付けられている。これはWindows 2000 Service Pack(SP)4のコアプロセッシングカーネルのセキュリティホールを修正する。この脆弱性を悪用すると、セキュリティ権限の低いユーザーでも、ログインに成功すればWindows 2000マシンを乗っ取ることができるとツールーズ氏は説明している。

 Microsoftはまた、SONY BMGのXCPアンインストーラがシステムに残すActiveXコンポーネント「CodeSupport」を削除するアップデートもリリースした。First4Internetが開発したCodeSupportは、Webから不正なプログラムをダウンロードしてインストールする攻撃にWindowsマシンをさらすと、プリンストン大学のコンピュータサイエンス教授エド・フェルテン氏は分析している。

 「システムにXCPがインストールされていて、ユーザーが最初のアンインストーラを実行した場合に、今回のアップデートはその(ActiveX)コントロールを削除する」(フェルテン氏)

 Microsoftの不正コード削除ツールは、SONY BMGのXCPをまだ削除していないユーザーが、同プログラムを削除するのに使えると同氏は語る。

 Microsoftユーザーにはこのセキュリティパッチをできるだけ早くダウンロードするよう推奨する。

 IT管理者は各アップデートのFAQセクションを読んで、IEのアップデートが既存のWebサイトの機能と競合するかどうか確認するべきだとツールーズ氏は述べている。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.