Microsoftは米国時間7月9日、14日に予定している月例アップデートで、攻撃の対象となっていながら未修正だった「DirectX」の脆弱性2件を修正する「緊急」レベルのパッチなど、6件のセキュリティアップデートをリリースすると発表した。
Microsoftは5月に、DirectXの脆弱性を突く攻撃が行われていると発表した。この脆弱性を突けば、悪意をもって作成された「QuickTime」ファイルを使ってコンピュータを完全に制御できる。
Microsoftは7月6日、「DirectShow」による動画の保存および再生に「Internet Explorer(IE)」を使用している場合に、「Microsoft Video ActiveX Control」の脆弱性を突く攻撃が行なわれていると警告した。Microsoftは同日、回避策の実行を推奨したが、同社は2008年からこの脆弱性について認識していたと報じられている。
セキュリティ企業Rapid7の声明によると、ActiveXコントロールの脆弱性は、悪意あるハッカーがそれぞれ独自に再発見したか、Microsoftがサードパーティベンダーとの早期セキュリティ情報の共有に利用している「Microsoft Active Protection Program」から漏れた可能性があるという。
Microsoftの広報担当者は、こうした主張について調査を行うと述べた。
さまざまなバージョンのWindowsに影響を与える「緊急」レベルの脆弱性は、いずれも攻撃者によるリモートでのコード実行を可能にするものだ。また、「Virtual PC」と「Virtual Server」に影響を与える「重要」レベルの脆弱性で特権の昇格を可能にするものが1件あり、それ以外にも「重要」レベルの脆弱性で、特権の昇格を可能にするものとリモートでのコード実行の恐れがあるものが1件ずつある。
「緊急」レベルの脆弱性の影響を受けるソフトウェアは、「Windows 2000」「Windows XP」「Windows Vista」「Windows Server 2003」「Windows Server 2008」となっている。影響を受けるDirect Xのバージョンは、「DirectX 7.0」「DirectX 8.1」「DirectX 9.0」だ。
「重要」レベルの脆弱性の影響を受けるソフトウェアは、「2007 Microsoft Office System Service Pack 1」「Microsoft Internet Security and Acceleration Server 2006」「Microsoft Virtual PC 2004」「Microsoft Virtual PC 2007」「Microsoft Virtual Server 2005 R2」となっている。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ