Microsoft (NASDAQ:MSFT) は13日、2月の月例更新を発表した。公開したセキュリティ情報は、1月よりかなり多めの12件で、そのうち半数の6件は『Windows』以外のアプリケーションに関するものだ。Windows に関連した脆弱性は、すべて『Windows XP』『Windows 2000』『Windows Server 2003』が対象で、『Windows Vista』に関係するセキュリティ情報はなかった。
ここ数か月、OS よりもアプリケーションの脆弱性を狙う傾向が強まっている。それは、Microsoft が OS のセキュリティを高めた成果でもあるし、「fuzzer」と呼ばれる種類の脆弱性検出ツールが出現したためとも言える。この種のツールによって、技術的知識が乏しい人間でも脆弱性を見つけることが可能になり、悪用する例も増えている。
セキュリティ製品ベンダー Qualys で、脆弱性対策室マネージャを務める Amol Sarwate 氏は、取材に対して次のように語った。「一般に、攻撃者は容易い目標を狙う。ここ数年は、常に OS が攻撃の対象となっていたが、サービスパックや修正プログラムの提供によって、OS の弱点を見つけるのはますます困難になってきた」
また、アプリケーションの中には登場してから日が浅く、それほど広範なテストを経ていないものもある。今月発表のあった12件のうち、深刻度が最大の「緊急」になっていたセキュリティ情報の1つは、『Microsoft Malware Protection Engine』の脆弱性に対応した「MS07-010」だ。この脆弱性によって、『Windows Defender』『Windows Live OneCare』およびサーバー用セキュリティ製品の『Microsoft Antigen』『Microsoft Forefront Security』などが影響を受ける。
この脆弱性は、Malware Protection Engine の PDF ファイル解析コードに存在する。攻撃者が細工した PDF ファイルを脆弱性を持つシステムで受け取ると、バッファオーバーフローが発生しシステム乗っ取りのおそれがある。
Qualys の上級製品マネージャ Jonathan Bitle 氏は、次のように述べた。「『Exchange』サーバーに PDF を送りつけてスキャンさせるだけで、そのサーバーの制御を奪えるなんて想像できるだろうか。明らかに危険だ」
Windows 関連のセキュリティ情報5件のうち、『HTML Help』の『ActiveX』コントロールの脆弱性に対応した「MS07-008」と、『Microsoft Data Access Components』の脆弱性に対応した「MS07-009」の2件は、深刻度が最大の「緊急」だ。残る4件「MS07-006」「MS07-007」「MS07-011」「MS07-013」の深刻度は、上から2番目の「重要」となっている。
