Microsoft、4月の月例更新は懸案の脆弱性など多くの問題に対応

Microsoft は11日、4月の月例更新を発表した。個別セキュリティ情報は5件で、そのうち3件は深刻度が最大の「緊急」となっている。すでに悪用例が広まっている『Internet Explorer』(IE) の「createTextRange()」メソッドに関する脆弱性にも対応した。

深刻度が「緊急」のものから見ていくと、まず IE の累積的な更新「MS06-013」だ。今回、懸案の「createTextRange()」メソッドに関する脆弱性を修正した。同脆弱性については、5社以上のセキュリティ企業が警告を出していた。この脆弱性は、遠隔コード実行を許しかねないもので、Microsoft は IE ユーザーに対し、直ちに適用するよう勧めている。

また MS06-013 は、IE における『ActiveX』コントロールの取り扱いを変更するパッチも含んでいる。これは、ユーザーが有効化操作を行なわない限り、一部の Web ページで ActiveX コントロールの対話操作ができなくなるというものだ。この変更に対応する時間が必要な組織のため、Microsoft は IE の機能性を変更前の状態に戻す互換性パッチも公開した。この互換性パッチは、6月の月例更新まで期間限定で機能し、以後 ActiveX コントロールの処理方法は、以前の状態に戻せなくなる。

MS06-013 の対象システムは、『Windows 2000』『Windows XP』『Windows Server 2003』の、IE 5.01 あるいは IE 6 となっている。

つぎに「MS06-014」では、Windows OS に存在する『Microsoft Data Access Components』(MDAC) の脆弱性に対応した。MDAC で提供している『RDS.Dataspace』の ActiveX コントロールに問題があり、細工した Web ページや Eメールを通じ、遠隔コード実行を許す恐れがある。

そして3つめは、『Windows Explorer』(Windows シェル) の脆弱性に対応する「MS06-015」だ。同脆弱性は、Windows Explorer の COM オブジェクト処理方法に存在する。攻撃者は細工した Web サイトに相手を誘導し、遠隔ファイルサーバーに強制接続させ、このファイルサーバーを通じて攻撃相手の Windows Explorer を、遠隔コード実行可能な状態に持ち込めるという。もちろん、この細工した Web サイトにアクセスしなければ、攻撃は成立しない。

深刻度が「緊急」のセキュリティ情報は、以上3件だ。このほか Microsoft は、深刻度が上から2番目の「重要」となっている『Outlook Express』の累積的なセキュリティ更新「MS06-016」を公開した。こちらは、Outlook Express で Windows アドレス帳ファイルを用いた際に発生する脆弱性対応を、新たに加えたものだ。この脆弱性も、遠隔コード実行の恐れがある。

最後は、深刻度が下から2番目の「警告」となっているセキュリティ情報「MS06-017」だ。これは、『Microsoft FrontPage Server Extensions 2002』および『SharePoint Team Services』を用いている場合、クロスサイト スクリプティングの脆弱性により、コンテンツの改ざんや情報漏洩が起きかねない問題に対応したものだ。