マイクロソフトが月例パッチ -- 31件のセキュリティホールを修正

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009年06月10日 17時38分

  • このエントリーをはてなブックマークに追加

 6月のMicrosoftのパッチ群は巨大なものになった。Windows、Internet Explorer、Microsoft Office(Word、Works、Excel)に関する、全部で31件の明文化された脆弱性を対象とする10件のセキュリティ情報が公開される。

 10件のセキュリティ情報のうち5件が、Microsoftの最大深刻度としてはもっとも高い「緊急」にレーティングされている。6月のパッチには、5月に公に情報開示されたIIS WebDAVに影響のある2件のセキュリティホールと、CanSecWest Pwn2Ownで、Windows 7上のInternet Explorerを攻撃する際に使われた脆弱性に対するパッチも含まれている。

 以下に、今月のアップデートの概要を示す。(編集部注:Microsoftのセキュリティ情報より抜粋)

  • MS08-018(緊急): このセキュリティ更新プログラムは、Microsoft Windows 2000 Server および Windows Server 2003 上の Active Directory の実装、Windows XP Professional および Windows Server 2003 にインストールされている場合の Active Directory Application Mode (ADAM) に存在する非公開で報告された 2 件の脆弱性を解決します。最も深刻な脆弱性の場合、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムの深刻度は、すべてのサポートされている Microsoft Windows 2000 Server について「緊急」、Windows XP Professional および Windows Server 2003 で「重要」に評価されています。
  • MS09-019(緊急): このセキュリティ更新プログラムは Internet Explorer に存在する 7 つの非公開で報告された脆弱性と 1 つの公開された脆弱性を解決します。 より深刻な脆弱性が悪用された場合、ユーザーが Internet Explorer を使用して特別な細工がされた Web ページを表示すると、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムは、サポートされているエディションの Microsoft Windows 2000 で実行されている Internet Explorer 5.01 については深刻度「緊急」、Internet Explorer 6 Service Pack 1 については「重要」と評価されています。さらに、サポートされているエディションの Windows XP および Windows Vista で実行されている Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 で「緊急」、サポートされているエディションの Windows Server 2003 および Windows Server 2008 で実行されている Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 については「警告」と評価されています。
  • MS09-020(重要): このセキュリティ更新プログラムは Microsoft インターネット インフォメーション サービス (IIS) に存在する 1 件の一般に公開された脆弱性および 1 件の非公開で報告された脆弱性を解決します。これらの脆弱性で、攻撃者が特別な細工がされた HTTP リクエストを、認証を必要とする Web サイトに送信した場合、特権が昇格される可能性があります。これらの脆弱性により、攻撃者により、許可する認証の種類が指定されている IIS の構成が回避される可能性がありますが、特定のユーザーによりアクセスできるファイルを検証するファイル システム ベースのアクセス制御リスト (ACL) のチェックが回避されることはありません。このセキュリティ更新プログラムは、Microsoft Windows 2000、Windows XP および Windows Server 2003 のすべてのサポートされているエディション上の Microsoft インターネット インフォメーションサービスについて、深刻度は「重要」と評価されています。
  • MS09-021(緊急): このセキュリティ更新プログラムは、ユーザーが不正な形式のレコード オブジェクトを含む特別な細工がされた Excel ファイルを開いた場合、リモートでコードが実行される可能性のあるいくつかの非公開で報告された脆弱性を解決します。攻撃者がこれらの脆弱性のいずれかを悪用した場合、影響を受けるコンピューターが完全に制御される可能性があります。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Excel 2000 について深刻度が「緊急」に評価されています。すべてのサポートされているエディションの Microsoft Office Excel 2002、Microsoft Office Excel 2003、Microsoft Office Excel 2007、Microsoft Office 2004 for Mac、Microsoft Office 2008 for Mac、Open XML File Format Converter for Mac、すべてのサポートされているバージョンの Microsoft Office Excel Viewer および Microsoft Office 互換機能パックについては、「重要」と評価されています。
  • MS09-022(緊急): このセキュリティ更新プログラムは、非公開で報告された Windows 印刷スプーラーに存在する 3 件の脆弱性を解決します。最も深刻な脆弱性は、影響を受けるシステムが特別に細工した RPC リクエストを受信した場合、リモートでコードを実行される可能性があります。このセキュリティ更新プログラムの深刻度はすべてのサポートされているエディションの Microsoft Windows 2000 について「緊急」、すべてのサポートされているエディションの Windows XP および Windows Server 2003 について「警告」、Windows Vista および Windows Server 2008 のすべてのサポートされているエディションについて「重要」と評価されています。
  • MS09-023(警告):このセキュリティ更新プログラムは、非公開で報告された 1 件の Windows サーチの脆弱性を解決します。この脆弱性は、ユーザーが検索を実行して最初の結果で特別に細工されたファイルが返される、または検索結果により特別に細工されたファイルをプレビューした場合に情報漏えいが起こる可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows XP および Windows Server 2003 にインストールされている Windows サーチについて、深刻度が「警告」と評価されています。
  • MS09-024(緊急): このセキュリティ更新プログラムは、非公開で報告された 1 件の Microsoft Works コンバーターの脆弱性を解決します。この脆弱性は、特別に細工された Works ファイルをユーザーが開いた場合に、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Word 2000 について、深刻度を「緊急」に評価しています。また、このセキュリティ更新プログラムはサポートされているエディションの Microsoft Office Word 2002, Microsoft Office Word 2003 上の Microsoft Works 6-9 ファイル コンバーター、Microsoft Office Word 2007 Service Pack 1、Microsoft Works 8.5 および Microsoft Works 9 の深刻度を「重要」に評価しました。
  • MS09-025(重要):このセキュリティ更新プログラムは、特権の昇格が起こる可能性がある一般で公開された 2 件の脆弱性および非公開で報告された 2 件の Windows カーネルの脆弱性を解決します。攻撃者はこれらの脆弱性を悪用し、任意のコードを実行し、影響を受けるコンピューターを完全に制御する可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 について、深刻度を「重要」に評価しています。
  • MS09-026(重要): このセキュリティ更新プログラムは Windows リモート プロシージャー コール (RPC) マーシャリングエンジンが内部状態を適切に更新しない場合に起こる RPC 機能に存在する 1 件の公開された脆弱性を解決します。この脆弱性で、攻撃者により任意のコードが実行され、影響を受けるコンピューターが完全に制御される可能性があります。このセキュリティ更新プログラムは、すべてのサポートされているエディションの Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista および Windows Server 2008 について、深刻度「重要」と評価しています。
  • MS09-027(緊急): このセキュリティ更新プログラムは、ユーザーが特別に細工された Word ファイルを開いた際にリモートでコードが実行される可能性のある、非公開で報告された 2 件の脆弱性を解決します。このセキュリティ更新プログラムはすべてのサポートされているエディションの Microsoft Office Word 2000 について、深刻度を「緊急」に評価しています。すべてのサポートされているエディションの Microsoft Office Word 2002、Microsoft Office Word 2003、Microsoft Office Word 2007、Microsoft Office 2004 for Mac および Microsoft Office 2008 for Mac、すべてのサポートされているバージョンの Open XML File Format Converter for Mac、Microsoft Office 互換機能パック および Microsoft Office Word Viewers については、深刻度が「重要」と評価されています。

 ShavlikのEric Schultze氏が、どのパッチを最優先で適用すべきかについて、貴重なアドバイスを提供している

 同じ日に、Adobeも同社のAdobe Reader、Acrobat製品ラインに存在する重要なセキュリティホールに対するセキュリティパッチを公開している。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化