Microsoft、2月の月例更新で「緊急」2件を含む勧告を発表

Microsoft は10日、2月の月例更新を実施した。同社の Web ブラウザ『Internet Explorer』(IE)、メールサーバー『Exchange Server』、データベース サーバー『SQL Server』、および『Microsoft Office』アプリケーションに広がる合計8件の脆弱性に対応している。

中でも最も重要な更新は IE に関する脆弱性で、深刻度が最大の「緊急」に設定されており、セキュリティ勧告「MS09-002」において、2件の脆弱性に対応している。

Microsoft は、2件の脆弱性のうち1件を「初期化されていないメモリの破損の脆弱性」としている。この問題は、IE による削除済みオブジェクトの処理方法に起因するものだ。同社は勧告の中で、次のように述べている。「攻撃者は、特別に細工した Web ページを作成することで脆弱性を悪用できる。ユーザーがその Web ページを閲覧すると、リモートでコードが実行される可能性がある」

IE に関する2件めの脆弱性は「CSS メモリ破損の脆弱性」で、IE によるカスケード スタイルシート (CSS) の処理方法に際して起こるものだ。CSS は、現代の Web サイトで一般的に用いられているレイアウト技術だ。Microsoft はセキュリティ勧告の中で、IE が特定の種類の CSS を読み込むとメモリの破損を引き起こすおそれがあると指摘している。この破損により、攻撃者は任意のコードを実行することが可能となる。

Microsoft によれば、新たに発見された IE に関するこれら2件の脆弱性はいずれも『IE7』に固有のもので、『IE6』や『IE5』には影響を及ぼさないという。またいずれの問題も、少なくとも現時点では実際に脆弱性が悪用された例はないという。

Microsoft による最新の月例更新では Exchange Server も対象となっており、「MS09-003」では深刻度が「緊急」の脆弱性2件に対応している。2件のうち1件は遠隔コード実行のおそれがある脆弱性に対応したもので、Microsoft の TNEF (Transport Neutral Encapsulation Format) 形式で作成された、悪質なコードを含む Eメールの添付ファイルにより引き起こされるおそれがある。

Exchange Server における2件めの脆弱性は、悪質な MAPI (Messaging Application Programming Interface) コマンドが原因となって引き起こされるもので、脆弱性を持つ Exchange サーバーにおいてサービス不能化 (DoS) 攻撃につながるおそれがある。

2月の更新では、SQL Server も修正の対象となっている。深刻度は「重要」で、意図されていない遠隔コードの実行につながるおそれのある脆弱性に対応している。この問題に関する Microsoft のセキュリティ勧告「MS09-004」では、拡張ストアド プロシージャ「sp_replwritetovarbin」のパラメータを検証する際の問題について指摘している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール