マイクロソフトが5月の月例パッチを公開

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2010年05月12日 18時51分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間5月11日、WindowsとMicrosoft Officeに存在する2件の緊急(遠隔からのコード実行)にレーティングされている脆弱性を修正するパッチを公開し、影響を受けるユーザーに対して、これらのパッチを出来る限り早く適用するよう求めている。

 もっとも深刻な問題は、セキュリティ情報MS10-030で説明されているもので、Outlook Express、Windows Mail、Windows Live Mailに影響がある。

 Microsoftによれば、Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008はすべて深刻度が「緊急」にレーティングされている。これは、攻撃に成功した場合、攻撃者が侵害を受けたコンピュータに対する完全なアクセスを得る可能性があるということだ。

 デフォルトの状態のWindows 7には、Windows Live Mailが含まれていないため、このセキュリティホールの影響を受けない。

 以下は、MicrosoftのSR&Dブログに掲載されている、可能性のある攻撃シナリオだ。

  • 中間者攻撃:攻撃者は、ユーザーのPOP3あるいはIMAPの正規の電子メールサーバに対する接続を横取りして操作する。このシナリオでは、もっとも可能性の高い攻撃ベクトルは、攻撃者が無線LANのホットスポットなどの信頼できないネットワークを経由する、正規のPOP3あるいはIMAPの接続を、横取りして改ざんするというものだ。ただしこの攻撃は、POP3あるいはIMAPのセッションがSSLを使用している場合には機能しない。電子メールアカウントに対するSSLによる保護は、サーバがその選択肢をサポートしている場合に利用できる。
  • 悪質な電子メールサーバ:攻撃者がユーザーを誘導し、悪意を持って設置された電子メールサーバに、POP3あるいはIMAPのどちらかのプロトコルで接続させる。この方法は、攻撃者がユーザーに対し、悪質な電子メールサーバに接続することを説得あるいは強制する必要があることから、攻撃ベクトルとしては可能性は低い。この攻撃にはかなりのソーシャルエンジニアリングが必要であり、成功する可能性は低い。ユーザーに悪質な電子メールサーバへの接続を強いるには、攻撃者はユーザーのLANへのアクセスが必要となるか、電子メールサーバのDSNエントリを書き換える手段を持っている必要がある。

 2件目のセキュリティ情報(MS10-031)では、Microsoft Visual Basic for Applicationに存在する、1件の明文化された脆弱性に対するパッチを提供している。このセキュリティアップデートは、すべてのサポートされているバージョンのMicrosoft VBA SDK 6.0と、Microsoft VBAを用いるサードパーティアプリケーションに対して、「緊急」にレーティングされている。

 Microsoft Visual Basic for ApplicationのActiveXコントロールを検索する方法に、遠隔からコードを実行される可能性のある脆弱性が存在する。この脆弱性は、ホストアプリケーションが特別に細工されたファイルを開き、そのファイルに含まれる細工されたデータがVisual Basic for Applicationランタイムに渡される場合に、遠隔からコードを実行される可能性がある。

 以下は、SR&Dチームによる技術的な詳細の説明だ。

 この脆弱性は、テキストの構文解析のコードの不具合から、1バイトスタックの上書きが生じるというものだ。・・・

・・・理論的には、この脆弱性を用いた攻撃が成功する方法はいくつか存在するが、どの場合も、プログラムが非常に特殊な要件を満たしている必要がある(例:リターンアドレスが0x00から始まっておらず、0x2eを含んでおり、0x2eを0x00に変更したものが、攻撃によって利用できるコードのアドレスを指す)。そのような要件はあり得ないことではないが、現実には見当たらない可能性が高い。

 われわれの分析によれば、任意のコードの実行につながる安定した攻撃コードが、今後30日以内に出回る可能性は低い。しかし今回は、われわれの用いている一般的なガイドラインに従い、この脆弱性を悪用によってコード実行の可能性のあるものとして分類した。

 古いバージョンを使っているWindowsユーザーは、サポート期限がまもなく切れることにも注意すべきだ。サポート期限が切れると、セキュリティパッチは提供されなくなる。

  • Windows XP Service Pack 2は、2010年7月13日以降はサポートされない。Microsoftの顧客の多くがまだこのバージョンを使用しており、Service Pack 3かWindows 7へ出来るだけ早くアップグレードするよう推奨されている。
  • Windows 2000に対する延長サポートも、2010年7月13日で期限が切れる。この日以降、MicrosoftはWindow 2000に対してセキュリティアップデートやその他のアップデートを提供しない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]