MS月例パッチ、ゼロデイ攻撃の脆弱性に対処

[ITmedia]

　米Microsoftは11月14日、月例セキュリティアップデート6件を公開し、ゼロデイ攻撃が発生しているXML Core Servicesの脆弱性や、Internet Explorer（IE）の脆弱性に対処した。最大深刻度は6件のうち5件が「緊急」となっている。

　XML Core Servicesの脆弱性を修正する緊急レベルの更新プログラム（MS06-071）は、XML Core Services（MSXML）4.0／6.0をインストールしているユーザーが対象となる。XML Core Services内部のXMLHTTP ActiveXコントロールにリモートからのコード実行を許す脆弱性が存在し、細工を施したWebページをユーザーが訪れると、攻撃者がシステムを完全に制御することが可能になる。

　この脆弱性を突いたゼロデイ攻撃の拡大も報告されており、Microsoftは11月3日にアドバイザリーを公開して回避策を紹介していた。

　残る5件はWindows関連。IE用の累積的なセキュリティ更新プログラム（MS06-067）では、DirectAnimation ActiveXコントロールのメモリ破損の脆弱性などに対処した。この脆弱性を突かれると、攻撃者が細工を施したWebページを使ってリモートでコードを実行し、コンピュータを完全に制御できてしまう可能性がある。この問題は9月に発覚した時点で実証コードが公開されていた。

　IE累積パッチの対象となるのはWindows 2000 SP4、Windows XP SP2、Windows Server 2003／SP1上で動作するIE 5.01 SP4とIE 6。Windows VistaとIE 7は影響を受けない。

　このほかのアップデートではMacromedia Flash Playerの脆弱性や、Workstationサービスの脆弱性などが修正されている。Workstationサービスの脆弱性では、攻撃者が細工を施したメッセージを送りつけてコードを実行させることができてしまうという。

　なお、Windows XP SP1は10月でサポートが終了したため、今回のセキュリティ更新プログラムの対象にはならない。ユーザーがパッチを適用するにはまずSP2にアップグレードする必要がある。