MS、7月の月例パッチを公開--「DirectShow」の脆弱性など6件

文:Elinor Mills(CNET News) 翻訳校正:矢倉美登里、高森郁哉

2009-07-15 12:51

 Microsoftは米国時間7月14日、攻撃の対象となっていた「Microsoft DirectShow」と「Microsoft Video ActiveX」の「緊急」レベルの脆弱性を修正するパッチと、PCの遠隔操作を可能にする「Embedded OpenType」フォントエンジンおよび「Microsoft Office Publisher」のセキュリティホールを修正するパッチをリリースした。

 月例セキュリティアップデートの計6件のパッチにより、「Windows」「Microsoft Office」「Microsoft Internet Security and Acceleration Server」「Virtual PC」「Virtual Server」の9件の脆弱性が修正される。

 DirectShowの3件の脆弱性は、特別に細工された「QuickTime」ファイルをユーザーが開いた場合に、攻撃者によるリモートでのコード実行を可能にするものだ。Microsoftは2009年5月、これらの脆弱性の1つを突く攻撃を確認したとして警戒を呼びかけた。

 ActiveXコントロールのパッチは、ActiveXコントロールを使用する「Internet Explorer(IE)」で悪意あるウェブページをユーザーが閲覧した場合に、リモートでのコード実行を可能にする脆弱性に対応したものだ。Microsoftは7月6日、この脆弱性に関して回避策の実行を推奨した。

 「緊急」レベルの脆弱性の影響を受けるソフトウェアは、「Windows 2000」「Windows XP」「Windows Vista」「Windows Server 2003」「Windows Server 2008」となっている。影響を受ける「DirectX」のバージョンは、「DirectX 7.0」「DirectX 8.1」「DirectX 9.0」だ。

 「重要」レベルの脆弱性の影響を受けるのは、「2007 Microsoft Office System Service Pack 1」「Microsoft Internet Security and Acceleration Server 2006」「Microsoft Virtual PC 2004」「Microsoft Virtual PC 2007」「Microsoft Virtual Server 2005 R2」となっている。

 Microsoftはさらに、「Malicious Software Removal Tool」(ダウンロードはこちら)をアップデートし、悪質なセキュリティプログラム「Win32/FakeSpypro」を削除できるようにした。このプログラムは、ユーザーをだまして、必要でない偽のセキュリティ対策ソフトウェアを購入させようとするものだ。

 一方、Microsoftによると、「Office Web Components」の脆弱性に対応する包括的なアップデートは、広範囲に配布する準備がまだ整っていなかったという。同社は7月13日、この脆弱性を突いた攻撃が行われていると発表した。同社はセキュリティアドバイザリ(973472)で、「Fix-It」ツールを用いた自動的な回避策を実装するよう推奨している。

この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]