Microsoft、2007年最後の月例更新で11件の脆弱性に対応

この記事のURLhttp://japan.internet.com/webtech/20071212/10.html

1年はきちんと締めくくらなければならない。少なくとも Microsoft はそう考えたようで、同社は11日、2007年最後の比較的規模が大きめな月例更新を実施した。今回同社が公開したセキュリティ情報は7件で、合計11件の脆弱性に対応した。

セキュリティ情報7件のうち3件は深刻度が最大の「緊急」で、残る4件がその次に深刻度の高い「重要」となっている。

前回を振り返ってみれば、11月の月例更新は例外的に小規模で、公開したセキュリティ情報は2件だった。今回の更新で目を引くのは、セキュリティ情報7件のうち5件が『Windows Vista』に影響を及ぼすもので、深刻度が「緊急」の3件はいずれも、Vista に関係することだ。Vista はこれまで、『Windows XP』ほど多くの脆弱性対応がなかった。

深刻度「緊急」のセキュリティ情報3件はすべて、任意コードの遠隔実行を許しかねない脆弱性に関するものだ。それぞれ、『DirectX』『Windows Media Format』『Internet Explorer』(IE) に存在する脆弱性に対応している。

これら3件を順に見ていくと、まずセキュリティ情報「MS07-064」は、DirectX に存在する脆弱性を修正している。特別な細工を施したストリーミングメディア ファイルを表示すると、脆弱性を持つコンピュータの制御を完全に明け渡してしまい、プログラムのインストールをはじめ、データの改ざんや削除、完全なユーザー権限を持つ新たなアカウントの作成を許しかねない。同脆弱性は、DirectX のバージョン7.0から10.0に存在する。

次に Windows Media Format の脆弱性を修正した「MS07-068」だが、これも MS07-064 と同様、特別な細工を施されたファイルを Windows Media Format ランタイムで表示すると、システム乗っ取りを許しかねない。MS07-064 と MS07-068 はともに、管理ユーザー権限でログインしていた場合に特に影響が大きく、比較的低いユーザー権限の場合、脆弱性による影響も少なくなる。

最後に IE の累積更新「MS07-069」だが、新たに4件の脆弱性に対応した。『Windows Server 2003』環境では総合深刻度が「警告」にとどまっているが、それ以外のサポート対象プラットフォームでは、いずれの場合も総合深刻度が「緊急」だ。MS07-069 パッチは、開放したメモリに対する IE のアクセス方法を変更し、遠隔コード実行の危険性に対応している。