Microsoft、10月の月例更新で『IE』や『Office』の脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20071010/11.html

Microsoft は9日、10月の月例更新を実施した。今回公開したセキュリティ情報は6件で、そのうち深刻度が最大の「緊急」となっているものは4件ある。

それでは、深刻度が最大のセキュリティ情報を見ていこう。まずは、Web ブラウザ『Internet Explorer』(IE) の累積更新「MS07-057」だ。今回は新たに3件の脆弱性に対応した。IE は悪質コード開発者が好む標的となっている。


MS07-057 で対応した脆弱性のうち、最も重大なものは IE のエラー処理に関係する問題で、攻撃者が特別に細工した Web ページを用意して、そこにアクセスしたシステムで遠隔コード実行に至るおそれがある。

MS07-057 パッチが対応した残り2件の脆弱性は、IE のアドレスバーにおけるなりすましの問題だ。セキュリティ対策会社 Qualys の調査マネージャ Amol Sarwate 氏によると、これらの脆弱性はゼロデイ攻撃に悪用されたもので、アドレスバーに偽の URL を表示できるという。「騙されたユーザーは、フィッシング詐欺の犠牲者になる可能性がある。消費者は URL を見て、自分は銀行のサイトを訪問していると思いこむが、実際にアクセスしているのは攻撃者の Web サイト、ということが起こり得る」と同氏は取材に応じて語った。

深刻度が最大のセキュリティ情報2つ目は、IE と同様に人気の高い製品『Microsoft Word』に存在する脆弱性に対応した「MS07-060」だ。同セキュリティ情報で対応した脆弱性は、『Microsoft Word 2000』『同 2002』『Microsoft Office 2004 for Mac』に存在し、特別に細工して異常な文字列を仕込んだ Word ファイルを開くことで、遠隔コード実行を許しかねない。

Microsoft によると、IE の脆弱性も Word の脆弱性も、攻撃を受けたユーザーの権限が、管理者ユーザー権限よりも低い場合、その影響は少なくなる可能性があるという。

深刻度が「緊急」となっているセキュリティ情報の3つ目は、『Outlook Express』および『Windows Mail』の脆弱性に対応した「MS07-056」で、影響範囲は広範に及ぶ。Microsoft によると、不正な形式の NNTP レスポンス処理に問題があり、遠隔コード実行を許しかねないという。Eメールリンクを備え、特別な細工を施した悪意ある Web ページにユーザーがアクセスし、メールリンクをクリックすることで脆弱性が発現する。

深刻度が最大のセキュリティ情報のうち、最後の「MS07-055」は、『Kodak Image Viewer』に存在する脆弱性に対応したものだ。影響を受けるプラットフォームは『Windows 2000』『同 XP』『同 Server 2003』で、遠隔コード実行の恐れがある。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。