マイクロソフト、4月の月例パッチを公開: Excel、ワードパッドの脆弱性を修正

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009年04月15日 06時33分

  • このエントリーをはてなブックマークに追加

 Microsoftの4月のセキュリティパッチが公開されている(訳注:日本での月例パッチの公開は4月15日午後に予定されている)。今回は、少なくとも20件の明文化された脆弱性を対象とした、8件のセキュリティ情報が公開された。

 これらのセキュリティホールの中でもっとも深刻なものは、悪意のあるハッカーに脆弱性を持つマシンを完全に乗っ取られてしまう、リモートからのコード実行攻撃につながる可能性がある。4月の月例パッチには、現在すでに盛んに悪用されている、複数のコード実行バグ(Microsoft ExcelおよびMicrosoftワードパッド)に対する修正と、少なくとも1年前から公に知られていた2つの問題(トークンキッドナッピングの問題と、SafariとInternet Explorerの組み合わせ問題)に対する修正が含まれている。

(参照:One-year-old (unpatched) Windows 'token kidnapping' under attack

 一見したところでは、ウェブベースの攻撃による脅威が増えていることから、WindowsユーザーはInternet Explorerに対する累積アップデート(MS09-014)を最優先で扱うべきだ。このアップデートは、次のような問題を対象としている。

 この累積的なセキュリティ更新プログラムは Internet Explorer に存在する 4 つの非公開で報告された脆弱性と 2 つの公開された脆弱性を解決します。これらの脆弱性により、ユーザーが特別な細工がされた Web ページを Internet Explorer を使用して表示した場合、またはユーザーが HTTP プロトコルを介し攻撃者のサーバーに接続した場合、リモートでコードが実行される可能性があります。システムのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

 MicrosoftのSWIチームは、次のように説明している。

セキュリティ情報 最大深刻度 最大悪用可能性指標 公知の脆弱性の有無 コード実行の攻撃ベクトル/備考
MS09-009 緊急 高(1) 有り。CVE-2009-0238がすでに悪用されていることがわかっている。 電子メールに添付された、またはウェブサイトに掲載されたXLSファイル。これらの脆弱性は、Office 2000でのみ緊急にレーティングされている。他のバージョンのOfficeではユーザーが確認メッセージをクリックしなくてはならず、深刻度は重要になる。
MS09-010 緊急 高(1) 有り。CVE-2009-0235がすでに悪用されていることがわかっている。 電子メールに添付された、またはウェブサイトに掲載されたRTF、WRI、DOCファイル。コンバーター攻撃の詳細については、この記事を参照すること。
MS09-013 緊急 高(1) 有り。CVE-2009-0550の悪用ツールが存在する(SMBRelay)。ただし、このCVEの深刻度は緊急ではなく重要となっている。 緊急にレーティングされているCVEに対する攻撃ベクトルでは、クライアントアプリケーションがWinHTTPを使い、悪意のあるサーバに対するネットワーク経由の要求を生成する。悪意のあるサーバは不正な形式の要求メッセージで応答することで、クライアントサイドアプリケーションをクラッシュさせるか、そのアプリケーションを実行しているユーザーのコンテキストでコードを実行させる。Internet ExplorerはWinHTTPを使用しない。
MS09-014 緊急 高(1) 有り。CVE-2008-2540が公知になっている。ただし、この脆弱性のレーティングは「警告」となっている。このセキュリティ情報では、上記のCVE-2009-0550の問題の一部についても修正している。

緊急にレーティングされているCVEに対する攻撃ベクトルは、Internet Explorerによる悪意のあるウェブサイトへの接続になる。

公知のCVE-2008-2540(Safariじゅうたん爆撃攻撃)をどう解決したかについては、この記事を参照すること。

MS09-011 緊急 中(2) 無し。 電子メールに添付されたAVIファイル、またはAVIファイルにリンクされたウェブページ
MS09-012 重要 高(1) 有り。悪用ツールが一般に入手できる。 攻撃者がIISでホストされたウェブアプリケーションを乗っ取った後、これらの脆弱性を使えば、SYSTEMに昇格できる。この脆弱性をどう解決したかについては、この記事を参照すること。
MS09-016 重要 低(3) 有り。この脆弱性の一部の情報が公知になっている。 コード実行の危険はない。
MS09-015 警告 高(1) 有り。 攻撃ベクトルは知られていない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]