MS、12月度のパッチ公開--Windows Mediaのゼロデイ脆弱性を修正

文:Joris Evers(CNET News.com) 翻訳校正:編集部

2006-12-13 10:41

 Microsoftは米国時間12月12日、7件のセキュリティアップデートをリリースした。11件の脆弱性に対応するパッチが含まれているが、脆弱性の大半は「Windows」に影響するものとなっている。

 Microsoftは当初、月例パッチサイクルではセキュリティ勧告を6件しかリリースしない予定だった。しかし同社は声明で、ゼロデイのバグを含む「Windows Media Format」の2件の脆弱性に対処する目的で7番目の勧告を用意したことを明らかにした。

 Microsoftはさらに、「Visual Studio 2005」デベロッパーツールにあるゼロデイの脆弱性に対処するパッチも用意した。同社によると、このセキュリティホールは11月には既に明らかになっていて、Windows Mediaの問題と異なり、サイバー攻撃にも悪用されているという。

 しかし、同じく悪質なソフトウェアに悪用されているMicrosoft Wordの既知の2件の脆弱性については、パッチが12日には用意されなかった。

 脆弱性管理会社Qualysの調査マネージャーAmol Sarwate氏は、「ゼロデイの脆弱性用にパッチを用意しようとしているのは分かるが、Microsoftは次々と発生するゼロデイ攻撃を追いかけるのにまだ精一杯だ。同社は一生懸命やっていると思うが、Wordの脆弱性が未修正であるため、ユーザーは今も攻撃にさらされている」と述べている。

パッチの詳細

 Windows Mediaの問題は、Microsoftが今回の月例パッチで公開した3件の「緊急」セキュリティアップデートのうちの1件であるMS06-078で対処済みだ。そのほかで脆弱性のリスクが高いのは、「Internet Explorer」および「Visual Studio 2005」となっている。

 Microsoftによると、Windows Mediaの脆弱性は、ユーザーをだまして不正なメディアファイルやストリームを開かせるという方法で悪用可能だという。同社は、「この脆弱性をうまく悪用すれば被害システムを完全に掌握できる」と述べている。

 Internet Explorerにある4件の脆弱性は、Windows PCに同様のリスクをもたらす可能性がある。同ウェブブラウザにあるセキュリティホールを悪用し、悪質なウェブサイトを作成することができてしまうと、Microsoftは語っている。IEの脆弱性は、いずれも今回初めて明らかになったものだという。

 Microsoftでは、Windows Simple Network Management Protocol(SNMP)サービス、Windows Client-Server Run-time Subsystem(CSRSS)、そしてWindows Remote Installation Services(RIS)が影響を受ける問題については深刻度が低いと見ている。これらはどれも、Microsoftの最高レベルである「緊急」より1ランク低い「重要」に分類されている。

 同じく、メールクライアント「Outlook Express」の脆弱性も「重要」に分類されている。

 MicrosoftはSNMPの脆弱性を「重要」に分類しているが、ビジネスユーザーはこれをかなり深刻にとらえるべきだ、とIBM Internet Security SystemのX-Force事業部ディレクターGunter Ollmann氏は語っている。

 Ollmann氏は電子メールで声明を出し、「SNMPはデフォルトのサービスではないが、重要なビジネス資産を監視するためのデファクトスタンダードとなっている。SNMPはハンドシェイクの不要なUDPを使うため、社内の攻撃者なら身元を詐称することができ、ネットワークを完全に掌握できる」と述べている。

 Microsoftは、パッチの概要を同社ウェブサイトで公開している。修正はWindowsの自動アップデート経由で配信されるほか、Microsoftのウェブサイトでも公開されている。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]