Microsoft、7月の月例更新で4件のセキュリティ情報を公開

Microsoft は8日、7月の月例更新を実施した。公開したセキュリティ情報は4件で、合計9件の脆弱性に対応した。4件のセキュリティ情報のうち、深刻度が最大の「緊急」となっているものは1件もなく、過去数か月の更新に比べると穏やかな内容だ。

今回 Microsoft が公開したセキュリティ情報は、いずれも深刻度が上から2番目の「重要」だ。つまり、できるだけ早く更新プログラムをインストールすることが好ましいが、「緊急」の場合ほど至急にというわけではない。

では、各セキュリティ情報を1件ずつ見ていこう。まず、「MS08-037」は『Windows』のドメインネーム システム (DNS) に存在する2つの脆弱性に対応するものだ。この脆弱性は、攻撃者にネットワーク トラフィックのリダイレクトを許しかねない。

次に「MS08-038」は、『Windows Explorer』の脆弱性に対応したものだ。特別な細工を施した保存済み検索ファイルを開いた後に、保存した場合、遠隔コード実行の恐れがあり、影響を受けたシステムの完全な制御を攻撃者に与えてしまう可能性がある。

さらに「MS08-039」は、『Microsoft Exchange Server』の『Outlook Web Access』(OWA) に存在する2件の脆弱性を解決するものだ。これらの脆弱性は特権昇格問題で、悪用することによって攻撃者が各 OWA クライアントのセッションデータにアクセスしかねない。

そして最後の「MS08-040」は、『Microsoft SQL Server』に存在する4件の脆弱性に対応したものだ。こちらの脆弱性も特権昇格問題となっている。

以上4件のセキュリティ情報の深刻度はいずれも「重要」だが、セキュリティの専門家らは更新を怠らないようにと警告している。セキュリティ製品ベンダー McAfee は、「今回の月例更新では、深刻度が『緊急』となっている脆弱性は1件もないが、当社としてはこの機会にアプリケーションを更新するよう企業に呼び掛けたい」と述べた。

McAfee の 研究機関 Avert Labs で、セキュリティ調査担当ディレクタを務める Dave Marcus 氏は、次のように付け加えた。「7月はセキュリティ更新も夏休みということになるが、深刻度の低いセキュリティ更新とはいえ、当社は顧客がそれぞれのリスク管理戦略に従って更新を実施し、システムとデータを保全するよう勧める」

また、セキュリティ会社 nCircle のセキュリティ エンジニア Tyler Reguly 氏は、セキュリティ情報 MS08-037 について、緊急性が最も高い更新だとの見方を示した。同氏は取材に対し、次のように述べている。「DNS に関する2件の脆弱性は、DNS サーバーと DNS クライアントの両方に影響しかねないため、非常に深刻だ。攻撃者がクライアントの DNS キャッシュを改変したとしても、攻撃を受けたコンピュータ1台が影響を受けるだけだが、DNS サーバーが攻撃を受けた場合、そのネームサーバーを利用しているすべてのクライアントが偽の応答を受け取る恐れがある」