Microsoft、11月の月例更新は件数こそ少ないが深刻な問題に対応

Microsoft は13日、11月の月例更新を実施した。公開した個別のセキュリティ情報は2件だが、数こそ少ないもののその深刻性は高く、深刻度が最大の「緊急」となっている情報が1件、そして深刻度が上から2番目の「重要」となっている情報が1件という内容だ。

まず深刻度が「緊急」のセキュリティ情報「MS07-061」だが、これは特別な細工を施した URI を『Windows』のシェルが処理する方法について、公に報告のあった脆弱性に対応するものだ。Windows シェルがこの種の URI を十分に確認せず処理する場合に、任意コードの遠隔実行を許しかねない。

Microsoft が同脆弱性の悪用方法を確認したのは、Web ブラウザ『Internet Explorer 7』(IE 7) をインストールしたシステムのみだが、この問題はある Windows ライブラリファイルに存在するため、すべてのバージョンの Windows がこの脆弱性の影響を受ける。MS07-061 パッチを適用後は、再起動する必要がある。

次に深刻度が「重要」のセキュリティ情報「MS07-062」では、攻撃者が DNS リクエストに対して細工した応答を送信する形による、なりすましを許しかねない脆弱性に対応した。

セキュリティの専門家は、MS07-061 パッチを速やかに導入するよう、システム管理者らに強く警告している。

セキュリティ関連ソフトウェア開発会社 Lumension Security のソリューションおよび戦略ディレクタ Don Leatham 氏は、「今回は OS の脆弱性に関わる緊急のセキュリティ情報が1件しかなかったが、この脆弱性は重大な遠隔コード実行に繋がるため、パッチを当てなければならない」と述べた。

Leatham 氏はこのほかにも、ここ数週間の間に知られるようになったいくつかのアプリケーションの脆弱性、つまり『QuickTime』における遠隔コード実行問題や、デジタル著作権管理 (DRM) 技術とソフトウェアライセンス技術の Macrovision の製品『Flexnet』が持つ脆弱性、そして『Adobe Acrobat』の遠隔コード実行問題にも注意を払うべきだと警告した。