マイクロソフト、2008年7月の月例パッチを公開--重要レベルのパッチが4件

　Microsoftは米国時間7月8日、2008年7月のセキュリティ情報を公開した。「緊急」レベルのセキュリティパッチはなく、すべて「重要」レベルに分類されている。WindowsのDomain Name System（DNS）、Windows VistaのWindows Explorer、Outlook Web Access（OWA）、Microsoft SQL Serverの脆弱性を解消する。MicrosoftのWindowsおよびOfficeソフトウェア用セキュリティパッチは、すべて「Microsoft Update」または各セキュリティ情報のページからダウンロードすることができる。

MS08-037：重要

　このセキュリティ情報には「DNSの脆弱性により、なりすましが行われる（953230）」というタイトルが付けられている。Windows 2000、Windows XP、Windows Server 2003、Windows Server 2008のユーザーに関係し、Windows Vista（32ビット版および64ビット版）を使用するユーザーは影響を受けない。本アップデートは、「CVE-2008-1447」および「CVE-2008-1454」に詳述された脆弱性を修正し、WindowsのDomain Name System（DNS）向けのセキュリティパッチを提供する。Microsoftは、DNSクライアントとDNSサーバの両方に存在する2件の脆弱性により、攻撃者がリモートで、インターネット上のシステムに向けられたネットワークトラフィックを、攻撃者のシステムへとリダイレクトする危険性があると警告している。

MS08-038：重要

　このセキュリティ情報には「Windows Explorerの脆弱性により、リモートでコードが実行される（950582）」というタイトルが付けられている。Windows VistaおよびWindows Server 2008を使用するユーザーのみに影響し、他のバージョンのWindowsユーザーは影響を受けない。本アップデートは、「CVE-2008-1435」に詳述された脆弱性を修正する。Microsoftは「Windows Explorerの脆弱性により、特別な細工を施して保存された検索ファイルを開いて保存した場合、リモートでコードが実行される危険性がある。ユーザーが管理者ユーザー権限でログオンしている場合、この脆弱性が悪用されると、攻撃を受けたシステムが完全に制御される可能性があり、その後に攻撃者は、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新たなアカウントの作成などを実行できるようになる。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりも、この脆弱性の影響を受ける危険性は少なくなると考えられる」と説明している。

MS08-039：重要

　このセキュリティ情報には「Exchange ServerのOutlook Web Access（OWA）の脆弱性により、特権の昇格が起こる（953747）」というタイトルが付けられている。Microsoft Outlook Exchange Server 2003およびMicrosoft Outlook Exchange Server 2007を使用するユーザーが影響を受ける。本アップデートは、「CVE-2008-2247」に詳述された脆弱性を修正する。Microsoftは「攻撃者がこれらの脆弱性を悪用した場合、OWAの各クライアントのセッションデータへのアクセス権を取得し、特権を昇格する危険性がある。その後に攻撃者は、各クライアントのOWAセッションでユーザーが実行可能なすべての動作を実行する可能性がある」と警告している。

MS08-040：重要

　このセキュリティ情報には「Microsoft SQL Serverの脆弱性により、特権が昇格される（941203）」というタイトルが付けられている。本アップデートは、「CVE-2008-0085」「CVE-2008-0086」「CVE-2008-0107」「CVE-2008-0106」に詳述された脆弱性を修正する。Microsoftは、このセキュリティ更新プログラムによって、「非公開で報告された4件の脆弱性が解決する。この深刻な脆弱性により、攻撃者がコードを実行し、影響を受けるシステムが完全に制御される危険性がある。認証された攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新たなアカウントの作成などを行う可能性がある」と警告している。