MS、2月の月例パッチを公開--「Windows」「Office」の脆弱性26件に対処

文:Elinor Mills(CNET News) 翻訳校正:矢倉美登里、高森郁哉

2010-02-10 11:36

UPDATE Microsoftは米国時間2月9日、月例の「Patch Tuesday」の一環として、13件のセキュリティ情報で26件の脆弱性に対処した。その中には、深刻度が「緊急」で、コンピュータの制御に悪用されるおそれがある「Windows」の脆弱性や、17年前にリリースされて以来Windowsの32ビット版カーネルに存在していた脆弱性が含まれる。

 MicrosoftのシニアセキュリティコミュニケーションズマネージャーであるJerry Bryant氏はブログの中で、最優先で対応すべきは、「Server Message Block(SMB)」プロトコル、「Windows Shell」ハンドラー、「Internet Explorer(IE)」の「ActiveX」処理、「DirectShow」、32ビット版Windowsの脆弱性を修正するセキュリティ情報だと書いた。

 Bryant氏によると、DirectShowのセキュリティ情報が最優先されるべきだという。この脆弱性は、現在サポートされているWindowsの全バージョン(「Itanium」ベースのサーバ製品を除く)について「緊急」となっている。この脆弱性を突くために、攻撃者が悪意あるAVI(Audio Video Interleave)ファイルをウェブサイト上でホストし、サイトを訪問するようユーザーを誘いこんだり、メールに添付してファイルを送信してユーザーがファイルを開くよう仕向けたりする可能性がある。

 SMBのセキュリティ情報では、「Windows Vista」と「Windows Server 2008」を除くWindowsの全バージョンが「緊急」となっている。攻撃者は、悪意あるサーバをホストし、クライアントシステムにサーバへ接続するよう仕向けるか、クライアントからのSMBリクエストに応じて中間者攻撃(man-in-the-middle attack)を試みる可能性がある、とBryant氏は述べた。

 Windows Shellハンドラーに存在する深刻度が「緊急」の脆弱性は、「Windows 2000」「Windows XP」「Windows Server 2003」に影響する。この脆弱性を悪用する攻撃では、ブラウザなどのアプリケーションがWindows Shellハンドラーを介して「ShellExecute」API機能に特別に細工されたデータを渡した場合、リモートでコードが実行される可能性がある。

 ActiveXの「Kill Bit」の累積的なセキュリティ更新プログラムは、深刻度が「緊急」だが、Kill Bitが根本的な脆弱性に対処するわけではない。これは、脆弱なActiveXコントロールがIEで実行されないようにするレジストリの設定だ。

 32ビットWindowsカーネルに影響する脆弱性は、GoogleのエンジニアであるTavis Ormandy氏がセキュリティに関するメーリングリストで暴露した後、Microsoftが2010年1月に発表した問題だ。攻撃者は、ひとたびシステムにログオンできれば、権限を管理者レベルにまで昇格させることで、任意のプログラムを実行できるようになるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    調査結果が示す「モバイルセキュリティの死角」、主要なリスクと具体的な防御策とは?

  2. 経営

    生成AI活用はなぜ成果につながらないのか? P/Lヒットを生む3つのポイント

  3. ビジネスアプリケーション

    CRMに投資してもなぜ顧客体験は下がるのか。記録から実行へ、部門の垣根を越える次世代CRMの条件

  4. セキュリティ

    委託先やクラウドの「見えないリスク」が漏えいを招く、サプライチェーンリスク審査の実践ガイド

  5. ビジネスアプリケーション

    CIO必見、経営層に響く「AIエージェント導入」説明--7つの役職別シナリオで解説

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]