10月のMSパッチ、IEやWordのぜい弱性で「一般ユーザーへ広く影響」
マイクロソフトが公開した10月のセキュリティ更新プログラムは「緊急」レベルが4件と「重要」レベルが2件。すでに悪用例も報告されている。
マイクロソフトは10月10日、10月の月例セキュリティアップデートに関する国内報道関係者向けの説明会を開催した。同日公開したパッチは「緊急」4件と「重要」2件。4日の事前告知では全7件とされていたが、このうち「重要」の1件は「品質に問題が見つかったため」公開を見送っている。
最も深刻度の高い「緊急」では、Windows(MS07-055)、Outlook Express/Windows Mail(MS07-056)、Internet Explorer(MS07-057)、Word(MS07-060)の各ぜい弱性に対応する。
MS07-055は、Kodak Image Viewerが画像ファイルを処理する方法にぜい弱性が存在し、これにより攻撃を受けたPCがリモートでコードを実行されてしまう可能性がある。なお、このぜい弱性はWindows 2000にのみ存在するが、Windows 2000からWindows XP/Windows Server 2003へアップグレードした場合も同様に影響を受けるため、Windows 2000(SP4)、Windows XP(SP2)、Windows Server 2003が対象となっている。
MS07-056は、Outlook Express 5.5/Outlook Express 6と、Windows VistaのWindows Mailのぜい弱性に対処する(Vistaは「重要」レベル)。対象は広範囲に及ぶものの、「(このぜい弱性は)ネットニュースに関するものなので、個人ユーザーへの影響はあまりないだろう」(同社広報)とコメントしている。
MS07-057は、Internet Explorerのアドレスバーのなりすましや、htmlのエラー処理に関するもの。Internet Explorer 6および同7で細工されたWeb ページを表示すると、リモートでコードが実行される可能性があり、「今回のアップデートで一般ユーザーへ広く影響があるものの1つ」(同社広報)。なお、攻撃手法の一部がすでにWebで公開されていたが、同手法を使った攻撃はいまのところ確認されてないという。
MS07-060は、Microsoft Wordに関するもので、ユーザーが細工されたWordファイルを表示した場合、リモートでコードが実行される可能性がある。対象になるのは、Word 2000(Office 2000)、Word 2002(Office XP)、Office 2004 for Macで、Office 2003/同2007は含まれない。同ぜい弱性は、公開前にすでに悪用された報告もあり、同社はできるだけ早く更新することを呼びかけている。
「重要」レベルの2件では、RPC機能(リモートプロシージャコール)に存在するDoS攻撃のぜい弱性(MS07-058)と、 SharePointサイトで起こりうる権限昇格のぜい弱性(MS07-059)に対処する。対象になるのは、前者がWindows 2000/XP/Vista、Windows Server 2003、後者がWindows SharePoint Services 3.0/Office SharePoint Server 2007。
このほか、マルウェア駆除ツールの更新版も同日リリースされている。従来版からの主な変更点は、x64環境のサポートと、新しいウイルスファミリー(RJumpの各ウイルス)への対応だ。
関連キーワード
Microsoft(マイクロソフト) | Windows | 脆弱性 | パッチ | Word | Office | マルウェア | Outlook | ウイルス | Windows Server | Windows Vista | Windows XP | Internet Explorer | セキュリティアップデート | なりすまし
関連記事
10月のMSパッチは「緊急」含む7件、IEの脆弱性など修正
内訳は最大深刻度「緊急」レベルのパッチが4件、「重要」レベルが3件となる。MSの「こっそりアップデート」でXP修復に問題発生
MicrosoftがWindows Updateを“密かに”更新したせいで、Windows XPの再インストールに問題が起きているという。- MS、「XPアップデート不能」問題の解決法を発表
「こっそりアップデート」が原因とされているXPでのアップデート問題の原因と解決法が、Microsoftのサポートページに掲載された。 - Windows Updateをこっそり更新? 「マルウェア」呼ばわりにMSが釈明
9月のMS月例パッチ「一般ユーザーへの影響は軽微」
マイクロソフトが公開した9月のセキュリティ更新プログラムは、「緊急」レベルが1件と「重要」レベルが3件。ただし、このうち1件は、パッチが正常に認識されない場合もあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.