MS緊急パッチ公開、アニメカーソル脆弱性に対処

[ITmedia]

　Microsoftは4月3日（日本時間4日）、定例外のセキュリティパッチ（MS07-017）を緊急リリースした。ゼロデイ攻撃拡大が伝えられるアニメーションカーソルの脆弱性を修正しており、できるだけ早期の適用を促している。

　アニメーションカーソルの脆弱性は、Microsoftが3月29日にアドバイザリーを公開して注意を呼び掛けていたもの。Windowsがアニメーションカーソルやアイコンのフォーマットを処理する方法に存在する。ユーザーが悪質なWebサイトを訪れたり、細工を施した電子メールを表示すると、攻撃者がこの問題を悪用してコンピュータをリモートで制御できてしまう可能性がある。

　この問題が発覚した後、ゼロデイ攻撃が急増し、悪用コードを仕掛けたサイトが多数報告されたほか、悪質サイトにユーザーをおびき寄せてマルウェアをダウンロードさせようとするワームやスパムも出現。こうした事態を受け、Microsoftでは予定を前倒しして臨時パッチの公開に踏み切った。

　対象となるOSは、Windows 2000 SP4、Windows XP SP2、Windows Server 2003／SP1／SP2およびWindows Vista。

　これまでに他社からも非公式パッチがリリースされているが、Microsoftでは「脆弱性に対するセキュリティアップデートはそのソフトの提供元から入手するのが基本」と強調。他社のパッチを導入した場合は、公式パッチのインストール前にアンインストールしておくことが望ましい。

　MS07-017のアップデートではアニメーションカーソルの脆弱性のほか、GDIに関する権限昇格の脆弱性など計7件の問題が修正された。アニメーションカーソル以外の脆弱性の最大深刻度は、いずれも重要〜警告レベル。

　なお、今回の臨時パッチによって、4月10日の月例セキュリティアップデートがキャンセルされるわけではないという。予定通り5日（日本時間6日未明）には、10日の月例パッチに関する事前告知を発表する方針。