Microsoft、バレンタインデーに2月の月例更新

Microsoft (NASDAQ:MSFT) は14日、2月の月例更新を発表した。個別セキュリティ情報は、『Internet Explorer』(IE) の累積更新や『Windows Media Player』(WMP) に関する脆弱性など、合計で7件だ。

もう少し詳しく見ると、深刻度が最大の「緊急」となっているセキュリティ情報は、IE で新たに見つかった脆弱性に対応する累積更新1件と、WMP そのものの脆弱性に対応する情報の計2件だ。残り5件のセキュリティ情報の深刻度は、全て上から2番目の「重要」となっている。

深刻度が高い方から見ていくと、まずは IE に関する累積的なセキュリティ更新「MS06-004」だ。これは、先日お伝えした IE の WMF 画像処理コードに存在する脆弱性に対応したもので、1月に対応した脆弱性とは異なる。Microsoft によると、『Windows 2000 Service Pack 4』で IE 5.01 を用いるユーザーが影響を受けるという。

もう1件深刻度が「緊急」となっているのは、WMP のビットマップ (BMP) ファイル処理コードに存在する脆弱性に対応した「MS06-005」だ。これは、細工した BMP ファイルを WMP で開くと、攻撃者に遠隔コード実行を許しかねないという内容で、WMP の複数バージョンが影響を受ける。

ただし、本来 WMP は BMP ファイルを開くデフォルトのアプリケーションではないため、ユーザーが敢えてその操作を行なわなければ、攻撃が成立しない。

以下、深刻度が1段階低い「重要」のセキュリティ情報を見ていこう。まず WMP に関するもう1件のセキュリティ情報「MS06-006」だ。これは『Firefox』『Netscape』『Opera』など、IE 以外の Web ブラウザから利用する WMP プラグインに存在する脆弱性に対応したもので、同脆弱性を突くように細工した Web サイトにアクセスすると、遠隔コード実行に繋がる恐れがある。影響を受けるシステムは、一部のアーキテクチャ版を除く『Windows 2000』『Windows XP』『Windows Server 2003』だ。

ほかに深刻度が「重要」となっている4件のセキュリティ情報は、『WebClient』サービスに関する脆弱性により、遠隔コード実行が起きる問題に対応した「MS06-008」、細工した IGMP パケットを受け取るとサービス不能状態に陥る問題に対応した「MS06-007」、韓国語版 IME に存在する権限昇格の脆弱性に対応した「MS06-009」、『Office』製品の1つ『PowerPoint 2000』の情報漏洩に繋がる脆弱性に対応した「MS06-010」だ。

今回の月例更新とほぼ時を同じくして、イスラエルのセキュリティ会社 Beyond Security が13日、IE に存在するドラッグ＆ドロップ機能の脆弱性を公表した。問題になっているのは、共通識別番号「CVE-2005-3240」の脆弱性で、同社は昨年8月 Microsoft に対して通知済みだったと述べている。Beyond Security のセキュリティ研究者 Matthew Murphy 氏が記した情報によると、同脆弱性を突くことにより、攻撃者が対象システムに任意のプログラムをインストールし、特権アカウントの作成や削除などの攻撃が可能になるという。

Microsoft は同日、『Security Response Center』の Blog で、この件に言及した。同 Blog で Microsoft は、すでに Murphy 氏と協力して調査を行なっているとした上で、問題の脆弱性を悪用するには、非常に条件が狭い特定の状況が必要で、今後のサービスパックで対応するのが最適との考えを示した。