Microsoft、8月の月例更新は合計で14件の脆弱性を修正

この記事のURLhttp://japan.internet.com/webtech/20070816/12.html

Microsoft (NASDAQ:MSFT) は14日、8月の月例更新を実施した。今回公開した個別セキュリティ情報は9件で、合計14件の脆弱性に対応するという非常に大規模なものとなった。対応した14件の脆弱性のうち、深刻度が最大の「緊急」のものは8件だ。深刻度が上から2番目の「重要」となっている脆弱性も4件あり、残り2件は深刻度が下から2番目の「警告」だ。

各セキュリティ情報のうち、特に深刻なものは「MS07-046」だ。MS07-046 では、グラフィックやテキストの表示機能を担う『Graphical Device Interface』(GDI) に存在し、遠隔コード実行を許しかねない脆弱性に対応した。あらゆるアプリケーションが何らかの形で GDI を利用しているため、すべての『Windows』ユーザーは、この脆弱性を悪用した攻撃を受ける危険がある。

もう1つ目につくセキュリティ情報は、深刻度が「重要」となっている「MS07-048」だ。MS07-048 では、『Windows Vista』に存在し、ユーザー権限で遠隔コード実行を許しかねない3件の脆弱性に対応している。

この問題で特徴的なのはその攻撃方法で、Windows Vista のガジェットを用いる点だ。ユーザーが『フィード ヘッドライン ガジェット』で悪意ある RSS フィードを購読したり、『連絡先ガジェット』で悪意ある連絡先ファイルを追加したり、『天気ガジェット』で悪意あるリンクをクリックしたりすると、遠隔コード実行のおそれがあるという。

今回の月例更新では、遠隔コード実行の脆弱性に数多く対応した。たとえば、深刻度が「緊急」の「MS07-042」では、特別に細工した Web ページを用い『XML Core Services』に存在する脆弱性を突いて遠隔コード実行に至る攻撃に対処している。同じく深刻度が「緊急」の「MS07-043」では、悪意ある Web ページを使って、Windows の『Object Linking and Embedding』(OLE) レイヤーに存在する脆弱性を突く攻撃に対処した。

ほかにも、深刻度が「緊急」の「MS07-050」では、Windows における『Vector Markup Language』(VML) 実装に存在する脆弱性を修正した。VML の脆弱性を悪用する攻撃は、最近その割合が増えていた問題だ。また、深刻度が「重要」の「MS07-047」では、『Windows Media Player』の脆弱性を修正している。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。