MS、3月の月例パッチを公開--IE脆弱性へのゼロデイ攻撃を警告

文:Elinor Mills(CNET News) 翻訳校正:矢倉美登里、高森郁哉 2010年03月10日 13時25分

  • このエントリーをはてなブックマークに追加

 Microsoftは、攻撃の標的になっている「Internet Explorer(IE) 6」と「IE 7」の新たな脆弱性について警告し、月例の「Patch Tuesday」の一環として、「Windows」と「Microsoft Office」の脆弱性8件に対処するパッチをリリースした。

 Microsoftは、非公開で報告された脆弱性に対処するセキュリティアドバイザリ(981374)を公開した。攻撃者がこの脆弱性を突くことで、悪意あるウェブページを閲覧したユーザーのマシンを制御できるようになる可能性がある、と同社は述べた。

 攻撃の影響を緩和し得る機能がいくつかある。たとえば、すべてのサポートされているバージョンの「Microsoft Outlook」「Microsoft Outlook Express」「Windows Mail」は、デフォルトで、HTML形式の電子メールメッセージを制限付きサイトゾーンで開くという。

 セキュリティアドバイザリは次のように説明している。「『Windows Vista』およびそれ以降のWindowsオペレーティングシステム上の保護モードでは、攻撃者がこの脆弱性を悪用した場合でも、攻撃者が取得するコンピュータでの権限は非常に限定されたものとなるため、脆弱性の影響を制限する手助けとなる。(中略)デフォルトで、『Windows Server 2003』上のIEおよび『Windows Server 2008』上のIEは、『セキュリティ強化の構成』と呼ばれる制限されたモードで実行する。このモードはインターネットゾーンのセキュリティレベルを『高』に設定する。これは、IEの信頼済みサイトゾーンに追加していないウェブサイトに対する『緩和する要素』に該当する」

 セキュリティアドバイザリは、回避方法に関する情報も提供している。Microsoftは、IE 6とIE 7のユーザーは速やかに「IE 8」にアップグレードするよう推奨している。

 Microsoftは、米国時間3月4日に公開されたPatch Tuesdayの事前通知で、WindowsおよびMicrosoft Office製品の脆弱性8件に対処する、深刻度が「重要」のセキュリティ情報2件を9日に公開すると予告していた。詳細は、同社の「2010年3月のセキュリティ情報」に書かれている。

 3月の第1のセキュリティ情報「MS10-016」は、「Windows Movie Maker」の脆弱性に対処する。悪意を持って細工されたMovie Makerのプロジェクトファイルをユーザーに開かせることにより、この脆弱性が突かれる可能性がある。

 Microsoftでシニアセキュリティコミュニケーションズマネージャーを務めるJerry Bryant氏は、「Microsoft Security Response Center」へのブログ投稿で次のように書いた。「『Windows XP』とWindows Vistaはいずれも、影響を受けるバージョン(それぞれ『Movie Maker 2.1』と『Movie Maker 6.0』)を搭載している。『Movie Maker 2.6』にも脆弱性が存在し、ウェブから自由にダウンロードしてインストールできる状態になっている。『Windows 7』を含め、サポートされているプラットフォームにMovie Maker 2.6をインストールしている顧客には、アップデートが提供される」

 この脆弱性は、制限付きで配信されている無料ダウンロード版の「Microsoft Producer 2003」にも影響を及ぼす。「現時点で、当社はMicrosoft Producer 2003のアップデートを提供していない。(中略)当社は、Microsoft Producer 2003の調査を続けるが、顧客に対しては、このアプリケーションをアンインストールするか、入手可能な『Microsoft Fix It』を適用して、プロジェクトファイルタイプの関連付けを削除し、セキュリティレベルを高めるよう推奨する」(Bryant氏の投稿)

 第2のセキュリティ情報「MS10-017」は、現在サポートされている全バージョンの「Microsoft Office Excel」「Microsoft Office 2004 for Mac」「Microsoft Office 2008 for Mac」「Open XML File Format Converter for Mac」、サポートされているバージョンの「Microsoft Office Excel Viewer」「SharePoint 2007」に影響する。この攻撃が脆弱性を突くためには、悪意を持って細工されたファイルをユーザーに開かせる必要がある。

 Microsoftはまた、「Malicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)」をアップデートして、トロイの木馬「Win32/Helpud」に対処した。Win32/Helpudは、人気が高いオンラインゲームのログイン情報を盗む。

 Microsoftはさらに、「Microsoft Virtual PC」「Microsoft Virtual Server」の脆弱性に関するセキュリティ情報「MS09-033」を再公開し、影響を受けるソフトウェアに「Virtual Server 2005」を追加した。

 ソフトウェア大手のMicrosoftは、セキュリティアドバイザリ(981169)に関連する脅威の監視を続けていると述べた。このアドバイザリは、Windowsの比較的古いOSに影響する「VBScript」の脆弱性に関するもので、3月1日に同社が公開した。

 Microsoftは、この脆弱性を突く概念実証コードが公になっているが、有効な攻撃を確認していないと述べた。「Windows 2000」、Windows XP、Windows Server 2003を搭載したシステムを使用している顧客は、回避策を適用するよう推奨されている。Windows 7、Windows Server 2008、「Windows Server 2008 R2」、Windows Vistaを実行している顧客は、影響を受けない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]