MS、9月の月例パッチを公開--ワーム「Stuxnet」に一部対処

文:Elinor Mills(CNET News) 翻訳校正:緒方亮、高森郁哉 2010年09月15日 12時50分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間9月14日、「Windows」と「Microsoft Office」の脆弱性13件に対処するパッチを公開した。これらの脆弱性の中には、PCに感染するワーム「Stuxnet」に利用されるセキュリティホールも含まれる。

 セキュリティ情報「MS10-061」は、Windowsの印刷スプーラーサービスに存在する脆弱性に対処する。このセキュリティ情報によると、印刷スプーラーサービスが認証なしで公開されている脆弱なシステムに、攻撃者が特別に細工した印刷リクエストを送信した場合、コンピュータが制御される可能性があるという。

 まずKaspersky Labに、のちにSymantecによって発見されたこのセキュリティホールは、Stuxnetに悪用されている。深刻度は、「Windows XP」については「緊急」、その他のサポートされているバージョンのWindowsについては「重要」と評価されている。

 Kasperskyのシニアセキュリティ研究者であるKurt Baumgartner氏は、「パッチが適用されないままだと、Blasterのように、さらに大きな(被害をもたらす)ワームに変わるかもしれない」と述べた。

 Microsoftは2010年8月上旬にも、Windowsにおける拡張子「.lnk」が付いたショートカットファイルの処理方法に関連して、Stuxnetが悪用していた「緊急」のセキュリティホールの修正を急遽リリースしていた。最新のパッチは、産業制御システムを標的としながらも、あらゆるネットワーク上のWindowsに広がり得るこのワームに利用される、二次伝搬手法を修正する。

 Microsoftはまた、Stuxnetに標的にされている特権昇格の脆弱性2件の修正にも取り組んでいる。「Microsoft TechNet」のブログ記事によると、これらの脆弱性により、攻撃者がすでにシステムでコードを実行する権限を持つか、ほかの手段でシステムに侵入している場合、感染したシステムが攻撃者に完全に制御されるおそれがある。これに対処する修正は今後登場するが、リリースの日時は決まっていない。

 2010年9月の月例パッチには、MPEG-4コーデックに存在する「緊急」の脆弱性の修正も含まれる。対応しているすべてのWindowsに影響があり、ユーザーが悪意あるストリーミング動画コンテンツを閲覧すると、攻撃者にコンピュータを制御される可能性がある。

 これは、ウェブ閲覧者に対する、いわゆる「ドライブバイ攻撃」に利用されるかもしれない、とnCircleのセキュリティオペレーション担当ディレクター、Andrew Storms氏は述べた。「ユーザーが投稿したコンテンツを視聴する『Halo』のファン(それに、AVI形式の動画を視聴するすべての人)は、これから1週間ほど特に気をつけるべきだ。さもないと、自分のコンピュータがマルウェアに『狙撃』されるかもしれない」

 深刻度が緊急のセキュリティ情報はほかに、WindowsのUnicodeスクリプトプロセッサの脆弱性と、「Microsoft Outlook」の脆弱性をそれぞれ修復する2件がある。残りの5件は、深刻度が「重要」のセキュリティ情報で、Microsoftインターネットインフォメーションサービス(IIS)、リモートプロシージャーコール、ワードパッドのテキストコンバータ、Local Security Authority Subsystem Service(LSASS)、Windowsクライアント/サーバランタイムサブシステムの脆弱性に関するものだ。

 9月の月例パッチのセットには、「Windows 7」と「Windows Server 2008 R2」を対象とする緊急の更新は1件もなく、「Office 2010」に影響する脆弱性も皆無だった、とMicrosoftは説明した。

 一方でMicrosoftは、この9月中に2件のセキュリティアドバイザリを出すと述べた。1つはOutlook Web Accessに影響する脆弱性に関するもので、これは「Microsoft Exchange」の顧客に影響を及ぼす可能性がある。他の1件は更新されたアドバイザリで、これにより、「Outlook Express」と「Windows Mail」を「認証に対する保護の強化」にオプトインできるようになる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算