Microsoftの4月のセキュリティパッチが公開されている(訳注:日本での月例パッチの公開は4月15日午後に予定されている)。今回は、少なくとも20件の明文化された脆弱性を対象とした、8件のセキュリティ情報が公開された。
これらのセキュリティホールの中でもっとも深刻なものは、悪意のあるハッカーに脆弱性を持つマシンを完全に乗っ取られてしまう、リモートからのコード実行攻撃につながる可能性がある。4月の月例パッチには、現在すでに盛んに悪用されている、複数のコード実行バグ(Microsoft ExcelおよびMicrosoftワードパッド)に対する修正と、少なくとも1年前から公に知られていた2つの問題(トークンキッドナッピングの問題と、SafariとInternet Explorerの組み合わせ問題)に対する修正が含まれている。
(参照:One-year-old (unpatched) Windows 'token kidnapping' under attack)
一見したところでは、ウェブベースの攻撃による脅威が増えていることから、WindowsユーザーはInternet Explorerに対する累積アップデート(MS09-014)を最優先で扱うべきだ。このアップデートは、次のような問題を対象としている。
この累積的なセキュリティ更新プログラムは Internet Explorer に存在する 4 つの非公開で報告された脆弱性と 2 つの公開された脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer を使用して表示した場合、またはユーザーが HTTP プロトコルを介し攻撃者のサーバーに接続した場合、リモートでコードが実行される可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
MicrosoftのSWIチームは、次のように説明している。
| セキュリティ情報 | 最大深刻度 | 最大悪用可能性指標 | 公知の脆弱性の有無 | コード実行の攻撃ベクトル/備考 |
| MS09-009 | 緊急 | 高(1) | 有り。CVE-2009-0238がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたXLSファイル。これらの脆弱性は、Office 2000でのみ緊急にレーティングされている。他のバージョンのOfficeではユーザーが確認メッセージをクリックしなくてはならず、深刻度は重要になる。 |
| MS09-010 | 緊急 | 高(1) | 有り。CVE-2009-0235がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたRTF、WRI、DOCファイル。コンバーター攻撃の詳細については、この記事を参照すること。 |
| MS09-013 | 緊急 | 高(1) | 有り。CVE-2009-0550の悪用ツールが存在する(SMBRelay)。ただし、このCVEの深刻度は緊急ではなく重要となっている。 | 緊急にレーティングされているCVEに対する攻撃ベクトルでは、クライアントアプリケーションがWinHTTPを使い、悪意のあるサーバに対するネットワーク経由の要求を生成する。悪意のあるサーバは不正な形式の要求メッセージで応答することで、クライアントサイドアプリケーションをクラッシュさせるか、そのアプリケーションを実行しているユーザーのコンテキストでコードを実行させる。Internet ExplorerはWinHTTPを使用しない。 |
| MS09-014 | 緊急 | 高(1) | 有り。CVE-2008-2540が公知になっている。ただし、この脆弱性のレーティングは「警告」となっている。このセキュリティ情報では、上記のCVE-2009-0550の問題の一部についても修正している。 |
緊急にレーティングされているCVEに対する攻撃ベクトルは、Internet Explorerによる悪意のあるウェブサイトへの接続になる。 公知のCVE-2008-2540(Safariじゅうたん爆撃攻撃)をどう解決したかについては、この記事を参照すること。 |
| MS09-011 | 緊急 | 中(2) | 無し。 | 電子メールに添付されたAVIファイル、またはAVIファイルにリンクされたウェブページ |
| MS09-012 | 重要 | 高(1) | 有り。悪用ツールが一般に入手できる。 | 攻撃者がIISでホストされたウェブアプリケーションを乗っ取った後、これらの脆弱性を使えば、SYSTEMに昇格できる。この脆弱性をどう解決したかについては、この記事を参照すること。 |
| MS09-016 | 重要 | 低(3) | 有り。この脆弱性の一部の情報が公知になっている。 | コード実行の危険はない。 |
| MS09-015 | 警告 | 高(1) | 有り。 | 攻撃ベクトルは知られていない。 |
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(1)
- 印刷
-
- IIS
- クラッシュ
- コンテキスト
- クリック
- RTF
- 電子メール
- Safari
- Internet Explorer
- ハッカー
- Microsoft Excel
- Microsoft
- セキュリティパッチ
- 月例パッチ
- 脆弱性
- セキュリティホール
- ウェブアプリケーション
- SYSTEMに昇格
- MS09-016
- MS09-015
- WinHTTP
- 不正な形式の要求メッセージ
- クライアントサイドアプリケーション
- CVE-2008-2540
- 公知
- Safariじゅうたん爆撃攻撃
- AVIファイル
- MS09-012
- 一般に入手できる
- MS09-010
- CVE-2009-0235
- WRI
- DOCファイル
- コンバーター攻撃
- MS09-013
- CVE-2009-0550
- 悪用ツール
- SMBRelay
- CVE
- 攻撃ベクトル
- クライアントアプリケーション
- MS09-014
- システムのアカウント
- ユーザー権限
- 管理者ユーザー権限
- MS09-009
- CVE-2009-0238
- 添付
- XLSファイル
- Office 2000
- 確認メッセージ
- 組み合わせ問題
- ウェブベース
- 攻撃
- 脅威
- Windowsユーザー
- 累積アップデート
- 深刻
- 悪意
- 完全に乗っ取られてしまう
- リモートからのコード実行攻撃
- コード実行バグ
- Microsoftワードパッド
- トークンキッドナッピング
- 4月
- 4月15日午後
- 20件
- 明文化
- セキュリティ情報
関連情報
-
マイクロソフト月例パッチ事前通知:8件のうち5件が緊急
マイクロソフトが2009年4月の月例パッチに関する事前通知を公開した。今回の月例パッチでは8件のセキュリティ情報が公開され、そのうち5件が緊急にレーティングされている。 - 月例パッチ:マイクロソフトがWindowsカーネル、WINSの脆弱性を修正
- マイクロソフトが2月の月例パッチを公表 -- IEに深刻度が緊急の脆弱性
- マイクロソフトの1月の月例パッチ:SMBの脆弱性の問題を解決
- Microsoft
「セキュリティ」 の新着情報
-
月額498円でノートン先生が保護--イー・モバイル、月額版ノートン 360提供
シマンテックは、イー・モバイルの月額制オプションサービス「EMセキュリティ」のユーザーを対象に、セキュリティソフト「ノ... - 日本PGP、ホワイトリスト活用するデータ保護とアプリ制御の新製品を発表
- TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
- MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
- 三井住友銀行、投資銀行部門のEUC基盤でセキュリティ対策強化
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
jailbreakされたiPhoneがハックされ、5ドルを要求される
jailbreakされたiPhoneにインストールされてるSSHデーモンに、デフォルトのrootパスワードが設定されている問題を利用して、自動的に攻撃が仕掛けられる事件が起こった。 -
フィッシング実験ですべてのスパムフィルタを迂回することに成功
-
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
- Zero Day 一覧へ »
-
新型インフルエンザ等のパンデミック時に対応できるユーザー認証のあり方と仕組み
- 圧倒的なWeb会議市場シェアを誇る「nice to meet you」のご紹介
- パンデミックでも社員を守り業務継続を支援する
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- ITコスト削減の傾向と対策 〜情報システム部様限定〜
- SOA による製造ラインとバックエンド レガシー メインフレームの統合
- 異種データベースサーバ統合による戦略的コスト削減のススメ
- 企業における情報セキュリティ実態調査
- コスト削減!が至上命題の今だから…、ウェブテレビ会議で移動費削減、業務効率化の...
- アメリカ固定・移動通信市場の最新トレンド/ICT政策を分析――「米国通信市場総覧20...
企画特集
-
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは?
Intel Video Series
-
9. 出荷準備はOK?
この3分間のビデオは、あなたがソフトウェアを出荷する前に、データレー... -
10. Parallel Debugging Extensions
この3分間のビデオは、並列アプリケーション内のそうでなければ発見しが...
新着企業動向
-
山なみ景観を守れ!建築物に新たなデザイン規制を導入 「山すそ景観保全策」への意見を募集
箕面市役所 -
【大阪会場】12/6(日) プログラミングからWeb デザインまで、高速・高機能テキストエディタ...
エムソフト -
【Infinito PLUS誕生記念】今なら月額利用料金が永久半額!さらに初期費用全額還元!
GMOホスティング&セキュリティ -
メールセキュリティSaaS『Mail Luck!セキュアタイプ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
