Microsoftは11月13日、月例セキュリティ更新プログラムを2件を公開し、他社製ソフト経由で悪用されていたWindows URI処理の深刻な脆弱性などに対処した。
Windows URI処理の脆弱性(MS07-061)は、細工を施したURIをWindowsシェルで処理する方法に問題があり、悪用されると任意のコードを実行される可能性がある。
MicrosoftはInternet Explorer(IE)7を使用しているコンピュータ上でのみこの脆弱性が悪用される方法を確認しているが、脆弱性が存在する「Shell32.dll」は Windows XPおよびWindows Server 2003に含まれている。このため深刻度はWindows XP SP2、Windows Server 2003 SP1/2のいずれも「緊急」レベル。なお、Windows 2000 SP4とWindows Vistaは影響を受けない。
この脆弱性は、Outlook、Firefox、Adobe、Skypeなどのソフトを使って悪用できることが以前から指摘されており、実際にPDFファイルを使った攻撃などに利用されたため、Microsoftが10月にアドバイザリーを公開して注意を呼びかけていた。
もう1件のセキュリティ更新プログラム(MS07-062)は、Windows DNS Serversのなりすましの脆弱性に対処したもので、最大深刻度は「重要」。Windows 2000 SP4とWindows Server 2003 SP1/2が影響を受ける。
なお、今回の月例パッチには盛り込まれなかったが、MicrosoftはWindows Server 2003とWindows XPに付属するMacrovisionの「SafeDisc」(secdrv.sys)ドライバの脆弱性についても、先にアドバイザリーを公開している。
この問題はMacrovision側が修正パッチを公開し、手動でインストールすることが可能だが、Microsoftセキュリティ対策センター(MSRC)のブログによると、Microsoftのセキュリティアップデートプロセスを使ってこのMacrovisionのパッチを配信できるよう、現在テスト中だという。テストが終了した段階で、Microsoftから配信予定だとしている。
一方、今回の月例パッチ公開直前に発覚していたWindows Server Update Services(WSUS)の不具合については、MicrosoftがWSUSのブログで確認。原因を突き止めて同社サーバで修正済みで、ほとんどのユーザーは次回の同期で自動的に修正されるだろうとしている。
不具合の原因は、11日夜にMicrosoftがForefrontのプロダクトカテゴリーの名称を変更した際、「Nitrogen」の単語を二重引用符で囲んだことにあるという。WSUSでは二重引用符が制限されていることからエラーが発生。Microsoftは12日にカテゴリーの名称を再度変更して二重引用符を削除したが、この間にサーバを同期したWSUS 2.0/3.0ユーザーが影響を受けた。
影響を受けたWSUSサーバは、次回のMicrosoftサーバとの同期で問題が自動的に修正されるはずだが、ブログでは手動で同期する方法も紹介している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR