マイクロソフト、10月の月例パッチを公開--14件の脆弱性に対応

Joris Evers (CNET News.com) 2005年10月12日 12時45分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間11日、Windowsに存在する14件の脆弱性を修正するパッチを公開したが、このなかの1件の脆弱性については、それを悪用するワームがいつ現れてもおかしくないとある専門家が指摘している。

 Microsoftが今回発表したセキュリティ情報は9件で、修正された脆弱性の大半は、ユーザーの操作なしには攻撃が完遂されない性質のものだった。これはつまり、これらの脆弱性を悪用しようと思ったら、攻撃者は、ユーザーをだまして悪質なウェブサイトにアクセスさせたり、リンクをクリックさせて悪質なファイルを開かせるようにする必要があるということだ。

 ただし、なかには「緊急」に分類される脆弱性もあり、攻撃者がこれらを悪用してユーザーの操作なしにPCを乗っ取る可能性もある。このような脆弱性の1つが、セキュリティ情報MS05-051で報告されているが、この脆弱性はトランザクション処理を調整するWindowsコンポーネント「Microsoft Distributed Transaction Coordinator(MSDTC)」に存在している。

 「これはリモートシステムに関連する脆弱性で、簡単にワームに悪用される可能性がある」と、eEye Digital Securityのハッキング担当責任者であるMarc Maiffretは述べている。「これは、Zotobワームの登場につながった2カ月前の脆弱性とよく似ている」(Maiffret)

 このMSDTCの脆弱性によってバッファオーバーフローが生じるおそれがある。Microsoftの勧告によると、この脆弱性が影響するのは主にWindows 2000が動作するPCで、また設定によってはWindows XP Service Pack 1(SP1)やWindows Server 2003が動作するマシンも影響を受ける場合があるという。

 「Windows 2000のような旧バージョンのOSを利用している顧客は、緊急のアップデートのなかでもMS05-051の適用を先に行うべきだ」と、MicrosoftのStephen Toulouse(Security Response Centerプログラムマネージャ)は述べている。

 さらに、今回のアップデートでは、Windowsに存在するその他3件のバグにも対応している。これらの脆弱性の深刻度は、オペレーティングシステム(OS)によって異なるものの、比較的低い。これら3件の中でも、深刻度が高く、「緊急」と評価されているのは、リソース管理などのタスクを処理するソフトウェアのコンポーネント化技術「COM+」に存在する脆弱性だ。この脆弱性はWindows 2000やWindows XP SP1でも見つかっている。

 旧バージョンのOSが動作するマシンのほうがMSTDCやCOM+の脆弱性による影響を受けやすいと、Stephen Toulouseは説明している。同氏によると、11日に修正パッチが公開された14件の脆弱性すべてに同じことが言えるという。

 「一般に、これらの脆弱性の多くは、深刻度の点で影響が少なく、Windows XP SP2やWindows Server 2003 SP1といった新しいOSでは、悪用することがはるかに難しい」(Toulouse)

 Micorosftはもはや積極的にサポートしていないものの、いまでもWindows 2000を利用している企業は多い。

 MSDTCやCOM+の脆弱性は、外部の研究者らがMicrosoftの掲げる「責任ある報告」ポリシーに従い、同社に内々に報告したもので、Microsoftではこれらの脆弱性を悪用した攻撃については、まだ報告を受けていないとしている。

 eEye Digital SecurityのMarc Maiffretは、最初の攻撃用プログラムが登場するのは時間の問題だと同氏が考えていることを明らかにしている。「(MSDTCの)脆弱性を突くワームを作成するのは、技術的にはまったく難しくない。誰かが実際にそうするかどうかの問題だ」と同氏は言う。それに対し、MicrosoftのToulouseは同社が悪質なソフトウェアの動向に注意を払っていくと述べた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化