Microsoftの4月のセキュリティパッチが公開されている(訳注:日本での月例パッチの公開は4月15日午後に予定されている)。今回は、少なくとも20件の明文化された脆弱性を対象とした、8件のセキュリティ情報が公開された。
これらのセキュリティホールの中でもっとも深刻なものは、悪意のあるハッカーに脆弱性を持つマシンを完全に乗っ取られてしまう、リモートからのコード実行攻撃につながる可能性がある。4月の月例パッチには、現在すでに盛んに悪用されている、複数のコード実行バグ(Microsoft ExcelおよびMicrosoftワードパッド)に対する修正と、少なくとも1年前から公に知られていた2つの問題(トークンキッドナッピングの問題と、SafariとInternet Explorerの組み合わせ問題)に対する修正が含まれている。
(参照:One-year-old (unpatched) Windows 'token kidnapping' under attack)
一見したところでは、ウェブベースの攻撃による脅威が増えていることから、WindowsユーザーはInternet Explorerに対する累積アップデート(MS09-014)を最優先で扱うべきだ。このアップデートは、次のような問題を対象としている。
この累積的なセキュリティ更新プログラムは Internet Explorer に存在する 4 つの非公開で報告された脆弱性と 2 つの公開された脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer を使用して表示した場合、またはユーザーが HTTP プロトコルを介し攻撃者のサーバーに接続した場合、リモートでコードが実行される可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
MicrosoftのSWIチームは、次のように説明している。
| セキュリティ情報 | 最大深刻度 | 最大悪用可能性指標 | 公知の脆弱性の有無 | コード実行の攻撃ベクトル/備考 |
| MS09-009 | 緊急 | 高(1) | 有り。CVE-2009-0238がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたXLSファイル。これらの脆弱性は、Office 2000でのみ緊急にレーティングされている。他のバージョンのOfficeではユーザーが確認メッセージをクリックしなくてはならず、深刻度は重要になる。 |
| MS09-010 | 緊急 | 高(1) | 有り。CVE-2009-0235がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたRTF、WRI、DOCファイル。コンバーター攻撃の詳細については、この記事を参照すること。 |
| MS09-013 | 緊急 | 高(1) | 有り。CVE-2009-0550の悪用ツールが存在する(SMBRelay)。ただし、このCVEの深刻度は緊急ではなく重要となっている。 | 緊急にレーティングされているCVEに対する攻撃ベクトルでは、クライアントアプリケーションがWinHTTPを使い、悪意のあるサーバに対するネットワーク経由の要求を生成する。悪意のあるサーバは不正な形式の要求メッセージで応答することで、クライアントサイドアプリケーションをクラッシュさせるか、そのアプリケーションを実行しているユーザーのコンテキストでコードを実行させる。Internet ExplorerはWinHTTPを使用しない。 |
| MS09-014 | 緊急 | 高(1) | 有り。CVE-2008-2540が公知になっている。ただし、この脆弱性のレーティングは「警告」となっている。このセキュリティ情報では、上記のCVE-2009-0550の問題の一部についても修正している。 |
緊急にレーティングされているCVEに対する攻撃ベクトルは、Internet Explorerによる悪意のあるウェブサイトへの接続になる。 公知のCVE-2008-2540(Safariじゅうたん爆撃攻撃)をどう解決したかについては、この記事を参照すること。 |
| MS09-011 | 緊急 | 中(2) | 無し。 | 電子メールに添付されたAVIファイル、またはAVIファイルにリンクされたウェブページ |
| MS09-012 | 重要 | 高(1) | 有り。悪用ツールが一般に入手できる。 | 攻撃者がIISでホストされたウェブアプリケーションを乗っ取った後、これらの脆弱性を使えば、SYSTEMに昇格できる。この脆弱性をどう解決したかについては、この記事を参照すること。 |
| MS09-016 | 重要 | 低(3) | 有り。この脆弱性の一部の情報が公知になっている。 | コード実行の危険はない。 |
| MS09-015 | 警告 | 高(1) | 有り。 | 攻撃ベクトルは知られていない。 |
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(1)
- 印刷
-
- IIS
- クラッシュ
- コンテキスト
- クリック
- RTF
- 電子メール
- Safari
- Internet Explorer
- ハッカー
- Microsoft Excel
- 脆弱性
- セキュリティホール
- Microsoft
- セキュリティパッチ
- 月例パッチ
- ウェブアプリケーション
- SYSTEMに昇格
- MS09-016
- MS09-015
- 不正な形式の要求メッセージ
- クライアントサイドアプリケーション
- CVE-2008-2540
- 公知
- Safariじゅうたん爆撃攻撃
- AVIファイル
- MS09-012
- 一般に入手できる
- WinHTTP
- MS09-010
- CVE-2009-0235
- WRI
- DOCファイル
- コンバーター攻撃
- MS09-013
- CVE-2009-0550
- 悪用ツール
- SMBRelay
- CVE
- 攻撃ベクトル
- クライアントアプリケーション
- 確認メッセージ
- MS09-014
- システムのアカウント
- ユーザー権限
- 管理者ユーザー権限
- MS09-009
- CVE-2009-0238
- 添付
- XLSファイル
- Office 2000
- 組み合わせ問題
- ウェブベース
- 攻撃
- 脅威
- Windowsユーザー
- 累積アップデート
- 深刻
- 悪意
- 完全に乗っ取られてしまう
- リモートからのコード実行攻撃
- コード実行バグ
- Microsoftワードパッド
- トークンキッドナッピング
- 20件
- 明文化
- セキュリティ情報
- 4月
- 4月15日午後
関連情報
-
マイクロソフト月例パッチ事前通知:8件のうち5件が緊急
マイクロソフトが2009年4月の月例パッチに関する事前通知を公開した。今回の月例パッチでは8件のセキュリティ情報が公開され、そのうち5件が緊急にレーティングされている。 - 月例パッチ:マイクロソフトがWindowsカーネル、WINSの脆弱性を修正
- マイクロソフトが2月の月例パッチを公表 -- IEに深刻度が緊急の脆弱性
- マイクロソフトの1月の月例パッチ:SMBの脆弱性の問題を解決
- Microsoft
「セキュリティ」 の新着情報
-
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
Internet Explorerのプラグイン、Google Chrome Frameにセキュリティホールが発見された。パッチは公開済みで、自動的にアッ... - OSSTech、OpenLDAPを製品パッケージ化--性能向上で商用版からの置き換え狙う
- CSK Winテクノロジ、メール誤送信対策製品に「代理削除」などの新機能を追加
- プロジェクト管理ソフト「Redmine」に複数の脆弱性、バージョンアップを
- グーグル、「Chrome OS」デモイベントを開催--ソースコードを公開
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
Internet Explorerのプラグイン、Google Chrome Frameにセキュリティホールが発見された。パッチは公開済みで、自動的にアップデートされる。 -
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
-
Safariに7件の脆弱性を修正するパッチ
- Zero Day 一覧へ »
企画特集
-
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
ZDNet Japan イベント
- 開催日:2009年11月26日(木)
- イベント一覧へ»
Intel Video Series
-
5. lambda関数を使って
この5分間のビデオは、並列コードをより読みやすくするために、Threaded... -
6. 既知のバグをデバッグする
この4分間のビデオは、並列プログラムエラーが疑われる既知のバグをデバ...
