ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

「緊急」5件のMS月例パッチが公開、Windowsの脆弱性を解決

» 2009年09月09日 07時59分 公開
[ITmedia]

 米Microsoftは9月8日(日本時間9日)、事前の通知通り5件のセキュリティ情報を公開し、Windowsの脆弱性に対処した。深刻度は5件とも、最も高い「緊急」となっている。

 このうちMicrosoftが最優先で導入することを奨励しているのが、JScriptスクリプトエンジンの脆弱性に対処した「MS09-045」と、Windows Media Formatの脆弱性に対処した「MS09-047」の更新プログラム。いずれも悪用コードを仕込んだWebページを使って攻撃される恐れがあり、安定した悪用コードが作成される可能性も高くなっている。

 2件ともサポート対象のほぼ全OSが影響を受け、「MS09-047」の脆弱性は細工を施したASFファイルやMP3ファイルを使って悪用される恐れもある。

 一方、「MS09-048」で対処したTCP/IPの脆弱性と、「MS09-049」で対処した無線LAN自動構成サービスの脆弱性は、ネットワーク経由でリモートからのコード実行やDoS攻撃に利用される恐れがある。

 「MS09-048」のTCP/IPの脆弱性は3件あり、うち1件はWindows VistaとWindows Server 2008が深刻な影響を受ける。残る2件のDoSの脆弱性は、Windows 2000 SP4、Windows Server 2003、Windows Vista、Windows Server 2008が影響を受けるが、Windows 2000についてはこの問題を解決する更新プログラムの提供を見送った。

 その理由としてMicrosoftは、Windows 2000にはTCP/IPの保護を適切にサポートするアーキテクチャが存在しないため、脆弱性排除のための更新プログラムを作成するのが極めて難しいと説明。Windows Server 2003または2008にアップグレードできないユーザーは、ネットワークを注意深く監視し、ファイアウォールのベストプラクティスに従って守りを固める必要があると助言している。

 残る「MS09-046」の更新プログラムでは、DHTML編集コンポーネントのActiveXコントロールに存在する脆弱性を解決した。この問題も細工を施したWebページを使って悪用される恐れがあり、Windows 2000 SP4とWindows XPでは特に深刻度が高くなる。Windows Vistaなどは影響を受けない。

 なお、リリースされたばかりのWindows 7とWindows Server 2008 R2については、今回の月例更新プログラムの対象に含まれていない。また、8月下旬に発覚したIISの脆弱性を解決するパッチはまだ開発中といい、今回のアップデートには盛り込まれなかった。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.