Microsoft、6月の月例更新を実施

Microsoft は10日、6月の月例更新を実施した。公開したセキュリティ情報は7件で、深刻度が最大の「緊急」となっているものは3件だ。

深刻度が「緊急」のセキュリティ情報から見ていくと、まずは『Internet Explorer』(IE) の累積更新「MS08-031」だ。新たに対応した脆弱性は2件あり、その1つは IE がリクエスト ヘッダーを処理する際の脆弱性で、情報漏洩を引き起こしかねない。

問題の脆弱性に関する Microsoft のセキュリティ情報によると、「攻撃者が同脆弱性の悪用に成功すれば、別ドメインの IE から Web ページのデータを読み出すことができる」という。

なお Microsoft は、この脆弱性を使った攻撃を仕掛けるには、ある種のソーシャル エンジニアリングが必要になるとしている。攻撃者は悪意のあるコードを掲載している Web サイトに、ユーザーを誘導しなければならない。

IE に関する2つ目の脆弱性は、HTML オブジェクトによるメモリ破損の問題だ。これは、細工した Web ページを表示することにより、任意コードの遠隔実行を招きかねない。

同じく深刻度が「緊急」となっているセキュリティ情報「MS08-033」だが、これは『Windows』のメディア処理インフラの中核を担う『DirectX』の脆弱性2件に対応したものだ。

1つ目の脆弱性は、細工した MJPEG ファイルを開くことによって、遠隔コード実行を許す恐れがあるという内容で、もう1つの脆弱性は DirectX における『Synchronized Accessible Media Interchange』(SAMI) 形式の処理方法に存在し、こちらも遠隔コード実行を許しかねない。

深刻度が「緊急」となっているセキュリティ情報の最後は、Windows の Bluetooth スタックに存在する脆弱性に対応した「MS08-030」だ。この脆弱性も遠隔コード実効に至る恐れがある。

続いて、深刻度が上から2番目の「重要」となっているセキュリティ情報だが、まず「MS08-034」では、『WINS』コンポーネントに存在する権限昇格の脆弱性に対応した。

次に「MS08-035」では、『Active Directory』の脆弱性に対応している。同セキュリティ情報によると、この脆弱性は攻撃者が特別に作成した LDAP リクエストの検証が十分でないために起きる問題で、サービス不能化 (DoS) 状態に陥り、システムの再起動に至る恐れがあるという。

深刻度が「重要」となっているセキュリティ情報の最後は、『Pragmatic General Multicast』(PGM) プロトコルの実装に存在する脆弱性2件に対応した「MS08-036」だ。どちらの脆弱性も DoS 攻撃を招く恐れがある。