Microsoft、4月の月例セキュリティ情報を公開

Microsoft (NASDAQ:MSFT) は13日、4月の月例セキュリティ情報を公開した。『Outlook Express』や『Internet Explorer』(IE) のサービスパックを含め、多数の脆弱性に対応した。

今回の月例セキュリティ情報で公開した個別のセキュリティ情報は4件で、脆弱性のグループ毎にまとめたものだ。個別セキュリティ情報4件のうち3件は深刻度が最大の「緊急」となっており、1件は深刻度が上から2番目の「重要」となっている。

深刻度が最大のものから見ていくと、まず Windows 本体の脆弱性対応をまとめた「MS04-011」は、『NT4.0 Server および Worklstation』『2000』『XP (含 64-Bit Edition)』『Server 2003 (含 64-Bit Edition)』『NetMeeting』が対象となっている。

MS04-011 で包括している脆弱性は14件で、うち8件はリモートユーザーによるコード実行、2件はサービス不能化 (DoS) 攻撃、4件は権限昇格の脆弱性だ。

次に「Remote Procedure Call/Distributed Component Object Model」(RPC/DCOM) に関する脆弱性をまとめた「MS04-012」は、NT4.0 Server および Worklstation/2000/XP (含 64-Bit Edition)/Server 2003 (含 64-Bit Edition) が対象で、対応する脆弱性は合わせて4件、うち2件が DoS 攻撃、1件がリモートユーザーによるコード実行、残り1件はシステム内のファイル読み出しを許しかねない脆弱性だ。

深刻度が最大の個別セキュリティ情報3番目は、Outlook Express の累積的な修正となる「MS04-013」で、新たに最近報告のあった「MHTML」に関する脆弱性に対応した。同脆弱性は、ヘルプファイルを処理する際のクロスドメイン問題だ。

MS04-013 の修正プログラムは、『Outlook Express 5.5』『Outlook Express 6』『Outlook Express 6 SP1 (64ビット版を含む)』、そして Windows Server 2003 の Outlook Express 6 (64ビット版を含む) が対象となる。

最後に深刻度が1段階低い「重要」だった個別セキュリティ情報「MS04-014」は、『Jet Database Engine』に存在するバッファオーバーランの脆弱性に対応したもの。同脆弱性は、リモートユーザーによるコード実行を許し、システムの乗っ取り/プログラムのインストール/任意のアカウント作成が可能という。