6月のMicrosoftのパッチ群は巨大なものになった。Windows、Internet Explorer、Microsoft Office(Word、Works、Excel)に関する、全部で31件の明文化された脆弱性を対象とする10件のセキュリティ情報が公開される。
10件のセキュリティ情報のうち5件が、Microsoftの最大深刻度としてはもっとも高い「緊急」にレーティングされている。6月のパッチには、5月に公に情報開示されたIIS WebDAVに影響のある2件のセキュリティホールと、CanSecWest Pwn2Ownで、Windows 7上のInternet Explorerを攻撃する際に使われた脆弱性に対するパッチも含まれている。
以下に、今月のアップデートの概要を示す。(編集部注:Microsoftのセキュリティ情報より抜粋)
- MS08-018(緊急): このセキュリティ更新プログラムは、Microsoft Windows 2000 Server および Windows Server 2003 上の Active Directory の実装、Windows XP Professional および Windows Server 2003 にインストールされている場合の Active Directory Application Mode (ADAM) に存在する非公開で報告された 2 件の脆弱性を解決します。最も深刻な脆弱性の場合、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムの深刻度は、すべてのサポートされている Microsoft Windows 2000 Server について「緊急」、Windows XP Professional および Windows Server 2003 で「重要」に評価されています。
- MS09-019(緊急): このセキュリティ更新プログラムは Internet Explorer に存在する 7 つの非公開で報告された脆弱性と 1 つの公開された脆弱性を解決します。 より深刻な脆弱性が悪用された場合、ユーザーが Internet Explorer を使用して特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムは、サポートされているエディションの Microsoft Windows 2000 で実行されている Internet Explorer 5.01 については深刻度「緊急」、Internet Explorer 6 Service Pack 1 については「重要」と評価されています。さらに、サポートされているエディションの Windows XP および Windows Vista で実行されている Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 で「緊急」、サポートされているエディションの Windows Server 2003 および Windows Server 2008 で実行されている Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 については「警告」と評価されています。
- MS09-020(重要): このセキュリティ更新プログラムは Microsoft インターネット インフォメーション サービス (IIS) に存在する 1 件の一般に公開された脆弱性および 1 件の非公開で報告された脆弱性を解決します。これらの脆弱性で、攻撃者が特別な細工がされた HTTP リクエストを、認証を必要とする Web サイトに送信した場合、特権が昇格される可能性があります。これらの脆弱性により、攻撃者により、許可する認証の種類が指定されている IIS の構成が回避される可能性がありますが、特定のユーザーによりアクセスできるファイルを検証するファイル システム ベースのアクセス制御リスト (ACL) のチェックが回避されることはありません。このセキュリティ更新プログラムは、Microsoft Windows 2000、Windows XP および Windows Server 2003 のすべてのサポートされているエディション上の Microsoft インターネット インフォメーションサービスについて、深刻度は「重要」と評価されています。
- MS09-021(緊急): このセキュリティ更新プログラムは、ユーザーが不正な形式のレコード オブジェクトを含む特別な細工がされた Excel ファイルを開いた場合、リモートでコードが実行される可能性のあるいくつかの非公開で報告された脆弱性を解決します。攻撃者がこれらの脆弱性のいずれかを悪用した場合、影響を受けるコンピューターが完全に制御される可能性があります。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Excel 2000 について深刻度が「緊急」に評価されています。すべてのサポートされているエディションの Microsoft Office Excel 2002、Microsoft Office Excel 2003、Microsoft Office Excel 2007、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、すべてのサポートされているバージョンの Microsoft Office Excel Viewer および Microsoft Office 互換機能パックについては、「重要」と評価されています。
- MS09-022(緊急): このセキュリティ更新プログラムは、非公開で報告された Windows 印刷スプーラーに存在する 3 件の脆弱性を解決します。最も深刻な脆弱性は、影響を受けるシステムが特別に細工した RPC リクエストを受信した場合、リモートでコードを実行される可能性があります。このセキュリティ更新プログラムの深刻度はすべてのサポートされているエディションの Microsoft Windows 2000 について「緊急」、すべてのサポートされているエディションの Windows XP および Windows Server 2003 について「警告」、Windows Vista および Windows Server 2008 のすべてのサポートされているエディションについて「重要」と評価されています。
- MS09-023(警告):このセキュリティ更新プログラムは、非公開で報告された 1 件の Windows サーチの脆弱性を解決します。この脆弱性は、ユーザーが検索を実行して最初の結果で特別に細工されたファイルが返される、または検索結果により特別に細工されたファイルをプレビューした場合に情報漏えいが起こる可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows XP および Windows Server 2003 にインストールされている Windows サーチについて、深刻度が「警告」と評価されています。
- MS09-024(緊急): このセキュリティ更新プログラムは、非公開で報告された 1 件の Microsoft Works コンバーターの脆弱性を解決します。この脆弱性は、特別に細工された Works ファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Word 2000 について、深刻度を「緊急」に評価しています。また、このセキュリティ更新プログラムはサポートされているエディションの Microsoft Office Word 2002, Microsoft Office Word 2003 上の Microsoft Works 6-9 ファイル コンバーター、Microsoft Office Word 2007 Service Pack 1、Microsoft Works 8.5 および Microsoft Works 9 の深刻度を「重要」に評価しました。
- MS09-025(重要):このセキュリティ更新プログラムは、特権の昇格が起こる可能性がある一般で公開された 2 件の脆弱性および非公開で報告された 2 件の Windows カーネルの脆弱性を解決します。攻撃者はこれらの脆弱性を悪用し、任意のコードを実行し、影響を受けるコンピューターを完全に制御する可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 について、深刻度を「重要」に評価しています。
- MS09-026(重要): このセキュリティ更新プログラムは Windows リモート プロシージャー コール (RPC) マーシャリングエンジンが内部状態を適切に更新しない場合に起こる RPC 機能に存在する 1 件の公開された脆弱性を解決します。この脆弱性で、攻撃者により任意のコードが実行され、影響を受けるコンピューターが完全に制御される可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 について、深刻度「重要」と評価しています。
- MS09-027(緊急): このセキュリティ更新プログラムは、ユーザーが特別に細工された Word ファイルを開いた際にリモートでコードが実行される可能性のある、非公開で報告された 2 件の脆弱性を解決します。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Word 2000 について、深刻度を「緊急」に評価しています。すべてのサポートされているエディションの Microsoft Office Word 2002、Microsoft Office Word 2003、Microsoft Office Word 2007、Microsoft Office 2004 for Mac および Microsoft Office 2008 for Mac、すべてのサポートされているバージョンの Open XML File Format Converter for Mac、Microsoft Office 互換機能パック および Microsoft Office Word Viewers については、深刻度が「重要」と評価されています。
ShavlikのEric Schultze氏が、どのパッチを最優先で適用すべきかについて、貴重なアドバイスを提供している。
同じ日に、Adobeも同社のAdobe Reader、Acrobat製品ラインに存在する重要なセキュリティホールに対するセキュリティパッチを公開している。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ