Microsoft、3月の月例セキュリティ情報を公開

この記事のURLhttp://japan.internet.com/webtech/20040310/10.html

Microsoft (NASDAQ:MSFT) は9日、有害なコード実行につながる可能性がある『Microsoft Outlook』の脆弱性を筆頭に、合計3つの個別セキュリティ情報を含む、月例セキュリティ情報を公開した。

3月の最新版月例セキュリティ情報公開では、深刻度が上から2番目の「重要」となっている Outlook の脆弱性のほかに、システム内のファイル読み出しを許しかねない『MSN Messenger』の脆弱性と、サービス不能化 (DoS) 攻撃を許す『Windows Media Services』の脆弱性に対応している。後者2件の脆弱性の深刻度は、下から2番目の「警告」となっている。

まず3件中で最も深刻度の高い Outlook に関するセキュリティ情報「MS04-009」によると、同脆弱性は『Microsoft Office XP』の Service Pack 2 と『Microsoft Outlook 2002』の Service Pack 2 に存在し、攻撃を受けたマシンのローカルセキュリティゾーンで『Internet Explorer』がスクリプトコードを実行してしまう、というもの。対象となる環境は、『Microsoft Office XP』の Service Pack (SP) 2 と『Microsoft Outlook 2002』の SP2 だ。

セキュリティ情報では、悪用するための要件として、「同脆弱性を悪用する目的で作成した Web ページを含む、悪意ある Web サイトを設置した上で、攻撃相手がその Web ページを開くよう誘導する必要がある」としている。

Microsoft によると、ほかにも HTML メールを作成して、攻撃相手にその Eメールを見るようにしむけるという方法も可能という。攻撃が成功すれば、相手のシステム内にあるファイルにアクセスしたり、その時点でログインしているユーザーのセキュリティ設定の下で、任意のコード実行が可能となる。

次にインスタントメッセージ製品 MSN Messenger の脆弱性に関する「MS04-010」は、意図的に組み立てたファイル要求を送りつけることで、攻撃相手のシステム内にあるファイルを読み出せるというもの。対象となるのは、MSN Messenger 6.0 と MSN Messenger 6.1 だ。

もうひとつのセキュリティ情報「MS04-008」は、Windows Media Services に存在する DoS 攻撃を許しかねない脆弱性の修正だ。同修正の対象となるのは、『Microsoft Windows 2000 Server』の SP2/SP3/SP4 となっている。