Microsoft、10月の月例更新で『IE』や『Office』の脆弱性に対応

Microsoft は9日、10月の月例更新を実施した。今回公開したセキュリティ情報は6件で、そのうち深刻度が最大の「緊急」となっているものは4件ある。

それでは、深刻度が最大のセキュリティ情報を見ていこう。まずは、Web ブラウザ『Internet Explorer』(IE) の累積更新「MS07-057」だ。今回は新たに3件の脆弱性に対応した。IE は悪質コード開発者が好む標的となっている。


MS07-057 で対応した脆弱性のうち、最も重大なものは IE のエラー処理に関係する問題で、攻撃者が特別に細工した Web ページを用意して、そこにアクセスしたシステムで遠隔コード実行に至るおそれがある。

MS07-057 パッチが対応した残り2件の脆弱性は、IE のアドレスバーにおけるなりすましの問題だ。セキュリティ対策会社 Qualys の調査マネージャ Amol Sarwate 氏によると、これらの脆弱性はゼロデイ攻撃に悪用されたもので、アドレスバーに偽の URL を表示できるという。「騙されたユーザーは、フィッシング詐欺の犠牲者になる可能性がある。消費者は URL を見て、自分は銀行のサイトを訪問していると思いこむが、実際にアクセスしているのは攻撃者の Web サイト、ということが起こり得る」と同氏は取材に応じて語った。

深刻度が最大のセキュリティ情報2つ目は、IE と同様に人気の高い製品『Microsoft Word』に存在する脆弱性に対応した「MS07-060」だ。同セキュリティ情報で対応した脆弱性は、『Microsoft Word 2000』『同 2002』『Microsoft Office 2004 for Mac』に存在し、特別に細工して異常な文字列を仕込んだ Word ファイルを開くことで、遠隔コード実行を許しかねない。

Microsoft によると、IE の脆弱性も Word の脆弱性も、攻撃を受けたユーザーの権限が、管理者ユーザー権限よりも低い場合、その影響は少なくなる可能性があるという。

深刻度が「緊急」となっているセキュリティ情報の3つ目は、『Outlook Express』および『Windows Mail』の脆弱性に対応した「MS07-056」で、影響範囲は広範に及ぶ。Microsoft によると、不正な形式の NNTP レスポンス処理に問題があり、遠隔コード実行を許しかねないという。Eメールリンクを備え、特別な細工を施した悪意ある Web ページにユーザーがアクセスし、メールリンクをクリックすることで脆弱性が発現する。

深刻度が最大のセキュリティ情報のうち、最後の「MS07-055」は、『Kodak Image Viewer』に存在する脆弱性に対応したものだ。影響を受けるプラットフォームは『Windows 2000』『同 XP』『同 Server 2003』で、遠隔コード実行の恐れがある。