|
|
| Webテクノロジー | 2008年4月9日 14:00 |
|
Microsoft、4月の月例更新で8件のセキュリティ情報を公開 著者: Andy Patrizio オリジナル版を読む ▼2008年4月9日 14:00 付の記事 ■海外internet.com発の記事 Microsoft は8日、4月の月例更新を実施した。同社が公開したセキュリティ情報は8件で、合計10件の脆弱性に対応した。今回は『Windows Vista Service Pack 1』と『Windows Server 2008』のリリース後、初の月例更新だが、早くも両 OS に関係するセキュリティ情報がいくつか公開された。 8件のセキュリティ情報のうち、5件は深刻度が最大の「緊急」で、残る3件はその次に深刻度の高い「重要」となっている。影響を受ける製品別に見てみると、『Microsoft Office』関連のものが2件、『Windows』の全バージョンに関連するものが4件で、残る2件は『Internet Explorer』(IE) 関連だ。 深刻度が「緊急」となっているセキュリティ情報のうち、「MS08-021」はセキュリティ会社の McAfee から報告があったもので、Windows に存在する2件の脆弱性に対応している。特別な細工を施した『WMF』形式および『EMF』形式の Windows メタファイルを開くと、攻撃者にシステムの乗っ取りを許しかねない。 McAfee によると、2006年には同様の脆弱性を利用したサイバー攻撃が実際に発生したという。当時 Microsoft は通常の月例更新を待たずに、該当の脆弱性 (セキュリティ情報 MS06-001) に対する修正プログラムを公開せざるを得なかった。 このほかにも、インターネットに関係するセキュリティ情報が3件あり、そのうち2件が「緊急」で1件が「重要」だ。まずセキュリティ情報「MS08-023」(緊急) では、『ActiveX』コントロールに関する脆弱性に対応した。ユーザーが IE を使用して特別な細工が施された Web ページを閲覧すると、遠隔コード実行を許しかねないというものだ。 また「MS08-024」(緊急) は IE の累積更新で、新たにデータストリーム処理に存在する脆弱性を修正した。これもまた、ユーザーが IE を使用して特別な細工が施された Web ページを閲覧した場合、遠隔コード実行を許しかねないというものだ。 最後が「MS08-020」(重要) で、Windows が備える DNS クライアントの脆弱性を修正するものだ。攻撃者は DNS リクエストに対し、同脆弱性を利用して特別に細工した応答を返すことでなりすまし攻撃を仕掛けたり、インターネット トラフィックを正規の場所からリダイレクトさせることが可能になる。 さて、Office 関連のセキュリティ情報2件を見てみると、深刻度が「緊急」の「MS08-018」は、『Microsoft Office Project』に存在する脆弱性に対応したものだ。特別な細工を施した Project ファイルをユーザーが開くと、脆弱性を持つコンピュータの制御を完全に明け渡してしまいかねない。もう1件は、『Microsoft Visio』に存在する同様の脆弱性に対応した「MS08-019」で、こちらの深刻度は「重要」となっている。 残る2件は、Windows の『VBScript』および『Jscript』処理エンジンの脆弱性に対応した「MS08-022」(緊急) と、Windows カーネルの脆弱性を修正した「MS08-025」(重要) で、どちらも影響を受けるシステムの制御を奪われかねない問題だ。 |
| トップページ | 画面トップ |
|
||
|
||
|
