Microsoftの4月のセキュリティパッチが公開されている(訳注:日本での月例パッチの公開は4月15日午後に予定されている)。今回は、少なくとも20件の明文化された脆弱性を対象とした、8件のセキュリティ情報が公開された。
これらのセキュリティホールの中でもっとも深刻なものは、悪意のあるハッカーに脆弱性を持つマシンを完全に乗っ取られてしまう、リモートからのコード実行攻撃につながる可能性がある。4月の月例パッチには、現在すでに盛んに悪用されている、複数のコード実行バグ(Microsoft ExcelおよびMicrosoftワードパッド)に対する修正と、少なくとも1年前から公に知られていた2つの問題(トークンキッドナッピングの問題と、SafariとInternet Explorerの組み合わせ問題)に対する修正が含まれている。
(参照:One-year-old (unpatched) Windows 'token kidnapping' under attack)
一見したところでは、ウェブベースの攻撃による脅威が増えていることから、WindowsユーザーはInternet Explorerに対する累積アップデート(MS09-014)を最優先で扱うべきだ。このアップデートは、次のような問題を対象としている。
この累積的なセキュリティ更新プログラムは Internet Explorer に存在する 4 つの非公開で報告された脆弱性と 2 つの公開された脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer を使用して表示した場合、またはユーザーが HTTP プロトコルを介し攻撃者のサーバーに接続した場合、リモートでコードが実行される可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
MicrosoftのSWIチームは、次のように説明している。
| セキュリティ情報 | 最大深刻度 | 最大悪用可能性指標 | 公知の脆弱性の有無 | コード実行の攻撃ベクトル/備考 |
| MS09-009 | 緊急 | 高(1) | 有り。CVE-2009-0238がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたXLSファイル。これらの脆弱性は、Office 2000でのみ緊急にレーティングされている。他のバージョンのOfficeではユーザーが確認メッセージをクリックしなくてはならず、深刻度は重要になる。 |
| MS09-010 | 緊急 | 高(1) | 有り。CVE-2009-0235がすでに悪用されていることがわかっている。 | 電子メールに添付された、またはウェブサイトに掲載されたRTF、WRI、DOCファイル。コンバーター攻撃の詳細については、この記事を参照すること。 |
| MS09-013 | 緊急 | 高(1) | 有り。CVE-2009-0550の悪用ツールが存在する(SMBRelay)。ただし、このCVEの深刻度は緊急ではなく重要となっている。 | 緊急にレーティングされているCVEに対する攻撃ベクトルでは、クライアントアプリケーションがWinHTTPを使い、悪意のあるサーバに対するネットワーク経由の要求を生成する。悪意のあるサーバは不正な形式の要求メッセージで応答することで、クライアントサイドアプリケーションをクラッシュさせるか、そのアプリケーションを実行しているユーザーのコンテキストでコードを実行させる。Internet ExplorerはWinHTTPを使用しない。 |
| MS09-014 | 緊急 | 高(1) | 有り。CVE-2008-2540が公知になっている。ただし、この脆弱性のレーティングは「警告」となっている。このセキュリティ情報では、上記のCVE-2009-0550の問題の一部についても修正している。 |
緊急にレーティングされているCVEに対する攻撃ベクトルは、Internet Explorerによる悪意のあるウェブサイトへの接続になる。 公知のCVE-2008-2540(Safariじゅうたん爆撃攻撃)をどう解決したかについては、この記事を参照すること。 |
| MS09-011 | 緊急 | 中(2) | 無し。 | 電子メールに添付されたAVIファイル、またはAVIファイルにリンクされたウェブページ |
| MS09-012 | 重要 | 高(1) | 有り。悪用ツールが一般に入手できる。 | 攻撃者がIISでホストされたウェブアプリケーションを乗っ取った後、これらの脆弱性を使えば、SYSTEMに昇格できる。この脆弱性をどう解決したかについては、この記事を参照すること。 |
| MS09-016 | 重要 | 低(3) | 有り。この脆弱性の一部の情報が公知になっている。 | コード実行の危険はない。 |
| MS09-015 | 警告 | 高(1) | 有り。 | 攻撃ベクトルは知られていない。 |
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(1)
- 印刷
-
- IIS
- コンテキスト
- RTF
- 脆弱性
- SYSTEMに昇格
- MS09-016
- MS09-015
- 公知
- Safariじゅうたん爆撃攻撃
- AVIファイル
- MS09-012
- 一般に入手できる
- WinHTTP
- 不正な形式の要求メッセージ
- クライアントサイドアプリケーション
- CVE-2008-2540
- MS09-010
- CVE-2009-0235
- WRI
- DOCファイル
- コンバーター攻撃
- MS09-013
- CVE-2009-0550
- 悪用ツール
- SMBRelay
- CVE
- MS09-014
- システムのアカウント
- MS09-009
- CVE-2009-0238
- XLSファイル
- Office 2000
- 確認メッセージ
- 組み合わせ問題
- 累積アップデート
- 完全に乗っ取られてしまう
- リモートからのコード実行攻撃
- コード実行バグ
- トークンキッドナッピング
- 4月15日午後
- 20件
- 4月
関連情報
-
マイクロソフト月例パッチ事前通知:8件のうち5件が緊急
マイクロソフトが2009年4月の月例パッチに関する事前通知を公開した。今回の月例パッチでは8件のセキュリティ情報が公開され、そのうち5件が緊急にレーティングされている。 - 月例パッチ:マイクロソフトがWindowsカーネル、WINSの脆弱性を修正
- マイクロソフトが2月の月例パッチを公表 -- IEに深刻度が緊急の脆弱性
- マイクロソフトの1月の月例パッチ:SMBの脆弱性の問題を解決
- Microsoft
「セキュリティ」 の新着情報
-
MS、2月の月例パッチを公開--「Windows」「Office」の脆弱性26件に対処
マイクロソフトは、月例の「Patch Tuesday」の一環として、13件のセキュリティ情報で26件の脆弱性に対処した。 - トレンドマイクロ、インストール不要のUSBメモリ型ウイルス検索ツールを発表
- オラクル、定例外パッチをリリース--WebLogic Serverの深刻な脆弱性を修正
- サイボウズ、Windows phone向け「サイボウズモバイルKUNAI」を発表--iPhoneやAndroidへも展開
- インテック、ID同期の新製品--AD管理のIDとPWを社内各システムに同期
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
オラクル、サーバのセキュリティホールを修正する定例外のパッチ
オラクルは、WebLogic Node Managerに存在するリモートから悪用可能な脆弱性に対するパッチを公開した。オラクルが定例外のパッチを公開するのは異例のことだ。 -
マイクロソフト、データ漏えいにつながるIEの脆弱性について警告
-
RealPlayerに11件の重大な脆弱性
-
モジラがFirefox 3.6をリリース、セキュリティも強化
-
Adobe Shockwave Playerに深刻度クリティカルのセキュリティホール
- Zero Day 一覧へ »
企画特集
-
仮想環境のバックアップは難しいのか
効率的なバックアップへの2ステップを解説 -
身近な業務をCRMが変革!
実は、埋もれた情報が鍵だった -
通販サイトのアクセス集中からの危機を救う
4つのケーススタディからWebシステムを徹底解説 -
経営統合後の事業損益構造の見える化を実現
SAS Performance Managementの導入事例紹介!! -
新しい視点のレンタルサーバが誕生!
スタートアップ企業、開発者に最適なそのポイントとは? -
アプリケーション仮想化 3つの課題
最新のCosminexus V8.5の知られざる実力 -
御社はまだフリーの転送サービスですか?
大容量ファイルの受け渡しに「ルール」と「安心」を -
レガシーアプリケーションの稼働どうしてる?
互換性の問題、あなたはどう考える?意見募集中! -
利用者の理想を追求した最新レンタルサーバ
サイト制作事業者がその評価結果を徹底レポート! -
アンケートから見るセキュリティ対策の実態
8つの機能が中小企業の情報資産を守る -
仮想化をダメにするストレージの実態
求められるストレージ正常化のキーワードとは? -
事例 VMwareでデータセンターをクラウド化
富士通の開発環境を効率化したクラウドのノウハウ -
DBのパフォーマンスに困ってませんか?
既存のデータベース環境に追加するだけで性能が2倍に -
ビジネスを支えるWebシステム最前線
システムトラブルの6割が、ソフトウェアに原因あり
Intel Video Series
-
1.並列性のための包括的ソリューション
Intel Parallel Studioが、いかにVisual Studioを拡張し、並列プログラ... -
2.Advisor概要
Intel Parallel Advisorについての2分間の概要紹介で、プログラマが自分...
新着企業動向
-
ウイングアーク、ユーザー会への「新規入会促進プログラム」を実施
ウイングアーク テクノロジーズ -
「見える化」による社内情報共有・活用のポイント 〜 大手企業の成功事例公開 〜
リアルコム -
【EMCジャパン Tech Communityサイト】社内インフラにプライベートクラウドを導入したEMC
EMCジャパン -
メールセキュリティSaaS『Mail Luck!セキュアタイプ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
