Microsoft、5月の月例更新を発表

Microsoft は9日、5月の月例更新を発表した。個別セキュリティ情報は、『Exchange』『Flash』『Windows』に関するものが各1件の計3件で、うち2件は深刻度が最大の「緊急」となっている。

深刻度が「緊急」のものから見ていこう。まずは「MS06-019」だ。

MS06-019 では、『Microsoft Exchange Server』に存在する脆弱性に対応した。同脆弱性は、『vCal』もしくは『iCal』プロパティ付きの Eメールを Exchange が処理する際に顕在化し、遠隔コード実行を許す恐れがある。対象のシステムは、『Exchange Server 2000 (Service Pack 3 以降のロールアップ更新を適用したもの)』『Exchange Server 2003 Service Pack 1』『同 Service Pack 2』となっている。

このようなサーバー側の脆弱性は、攻撃対象として持つ意味合いの違いという観点から、重要性が大きい問題と言える。『Internet Explorer』(IE) や『Outlook』などのクライアント アプリケーションに対する攻撃の場合、ユーザーの操作が前提になることが多い上、一般的には常時稼働している訳でもない。一方、特に Exchange のようなサーバーソフトウェアは、常時稼働しており、運用中は常にネットワークに繋がっているため、いつの間にか攻撃を受け、被害が拡大する恐れがある。

もう1件、深刻度が「緊急」となっているセキュリティ情報は「MS06-020」だ。これは、IE を備えた Windows 環境に標準で付属する、Adobe Systems 製『Macromedia Flash Player』の一部バージョンが持つ脆弱性に対応したものだ。

同脆弱性による攻撃を受けたユーザーが、管理者権限でログインしている場合、システムの完全な乗っ取りを許しかねず、ファイル削除やデータ変更などの被害を受ける恐れがある。

この脆弱性は、Flash Player の「SWF」ファイル (公開用フラッシュアニメーションファイル) 処理に存在する。攻撃者は Web サイトやメールを通じ、相手に細工した SWF ファイルを読み込ませることで、脆弱性を突くことができる。

ただし、Adobe は3月に Flash Player を含む関連ソフトウェアの更新を行なっており、Microsoft も3月の月例更新の際に、セキュリティ勧告の形で Adobe による対応をユーザーに通知していた。

今回、Microsoft が MS06-20 で対応したのは、同社が再配布した Flash Player の更新だ。該当する Flash Player は、『Windows XP Service Pack 1』および『同 Service Pack 2』、ならびに『Windows 98』『Windows 98 Second Edition (SE)』『Windows Millennium Edition (ME)』に付属するものだが、Windows XP 以外についてはサポート対象外のため、情報提示のみで修正プログラムは公開していない。

3件目のセキュリティ情報「MS06-018」は、分散トランザクション制御サービス『Microsoft Distributed Transaction Coordinator』(MDTC) に存在する複数の脆弱性に対応したものだ。これらの脆弱性により、サービス不能化 (DoS) 攻撃を許しかねない。MS06-018 の深刻度は、下から2番目の「警告」となっている。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール