マイクロソフト、10月の月例パッチを公開--14件の脆弱性に対応

Joris Evers (CNET News.com) 2005年10月12日 12時45分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間11日、Windowsに存在する14件の脆弱性を修正するパッチを公開したが、このなかの1件の脆弱性については、それを悪用するワームがいつ現れてもおかしくないとある専門家が指摘している。

 Microsoftが今回発表したセキュリティ情報は9件で、修正された脆弱性の大半は、ユーザーの操作なしには攻撃が完遂されない性質のものだった。これはつまり、これらの脆弱性を悪用しようと思ったら、攻撃者は、ユーザーをだまして悪質なウェブサイトにアクセスさせたり、リンクをクリックさせて悪質なファイルを開かせるようにする必要があるということだ。

 ただし、なかには「緊急」に分類される脆弱性もあり、攻撃者がこれらを悪用してユーザーの操作なしにPCを乗っ取る可能性もある。このような脆弱性の1つが、セキュリティ情報MS05-051で報告されているが、この脆弱性はトランザクション処理を調整するWindowsコンポーネント「Microsoft Distributed Transaction Coordinator(MSDTC)」に存在している。

 「これはリモートシステムに関連する脆弱性で、簡単にワームに悪用される可能性がある」と、eEye Digital Securityのハッキング担当責任者であるMarc Maiffretは述べている。「これは、Zotobワームの登場につながった2カ月前の脆弱性とよく似ている」(Maiffret)

 このMSDTCの脆弱性によってバッファオーバーフローが生じるおそれがある。Microsoftの勧告によると、この脆弱性が影響するのは主にWindows 2000が動作するPCで、また設定によってはWindows XP Service Pack 1(SP1)やWindows Server 2003が動作するマシンも影響を受ける場合があるという。

 「Windows 2000のような旧バージョンのOSを利用している顧客は、緊急のアップデートのなかでもMS05-051の適用を先に行うべきだ」と、MicrosoftのStephen Toulouse(Security Response Centerプログラムマネージャ)は述べている。

 さらに、今回のアップデートでは、Windowsに存在するその他3件のバグにも対応している。これらの脆弱性の深刻度は、オペレーティングシステム(OS)によって異なるものの、比較的低い。これら3件の中でも、深刻度が高く、「緊急」と評価されているのは、リソース管理などのタスクを処理するソフトウェアのコンポーネント化技術「COM+」に存在する脆弱性だ。この脆弱性はWindows 2000やWindows XP SP1でも見つかっている。

 旧バージョンのOSが動作するマシンのほうがMSTDCやCOM+の脆弱性による影響を受けやすいと、Stephen Toulouseは説明している。同氏によると、11日に修正パッチが公開された14件の脆弱性すべてに同じことが言えるという。

 「一般に、これらの脆弱性の多くは、深刻度の点で影響が少なく、Windows XP SP2やWindows Server 2003 SP1といった新しいOSでは、悪用することがはるかに難しい」(Toulouse)

 Micorosftはもはや積極的にサポートしていないものの、いまでもWindows 2000を利用している企業は多い。

 MSDTCやCOM+の脆弱性は、外部の研究者らがMicrosoftの掲げる「責任ある報告」ポリシーに従い、同社に内々に報告したもので、Microsoftではこれらの脆弱性を悪用した攻撃については、まだ報告を受けていないとしている。

 eEye Digital SecurityのMarc Maiffretは、最初の攻撃用プログラムが登場するのは時間の問題だと同氏が考えていることを明らかにしている。「(MSDTCの)脆弱性を突くワームを作成するのは、技術的にはまったく難しくない。誰かが実際にそうするかどうかの問題だ」と同氏は言う。それに対し、MicrosoftのToulouseは同社が悪質なソフトウェアの動向に注意を払っていくと述べた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]