Microsoftは米国時間8日、Windows OS用のセキュリティパッチを2つリリースしたが、今回はあるオンラインゲーム機能に見つかった問題と、いくつかのアプリケーションで同社が添付しているサードパーティプログラムの欠陥を修正するものだけだった。
1つめのパッチは、DirectXのDirectPlayネットワークゲーム機能に関する問題を修正するものだ。この機能をサポートするゲームは、インターネット上で対戦モードを提供できる。このセキュリティの欠陥を突くことで、攻撃者は接続を中断し、ゲームをクラッシュさせることができる。
2つめのパッチはVisual Studio .Net 2003、Outlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2に付属しているサードパーティ製品、Crystal Reports Web Viewerに関するセキュリティ問題を修正するものだ。この欠陥によって、サービス拒絶攻撃(DOS攻撃)が可能になったり、攻撃者にコンピュータ上の情報にアクセスされてしまう恐れがある。
この2つの欠陥は、Microsoftのセキュリティに関する深刻度評価システムで、下から2番目の「警告(moderate)」にあたるとされている。
「たとえMicrosoftが開発していないソフトウェアでも、われわれが提供しているので、このパッチを発表した」と、同社セキュリティプログラム管理者のStephen Toulouseは述べた。
Microsoftが今年に入ってセキュリティに関する情報を発表したのは、今回のソフトウェアアップデートで17回めだ。ただし、パッチで修正された脆弱性の数は実際にはもっと多い。
Microsoftは一連の欠陥に対し、4月中頃にパッチを発表したが、それでもその17日後にインターネットに放たれたSasserコンピュータワームの拡大を防ぐことはできなかった。
今回発表になった2つの欠陥は、攻撃者がコンピュータを制御することを可能にするものではないため、ワーム作者がこれを悪用してSasserのようなプログラムを作成することはできない。
ネットワークゲームに関する欠陥は、Microsoftの無料のピアツーピアゲームシステムを使うゲームにだけ影響するもので、クライアントサーバアーキテクチャを利用するQuakeやUnreal Tournamentシリーズのような大半のマルチプレーヤーゲームには影響しない。この欠陥は、Windows 98、98SE、ME、2000、XPとXP 64ビットを含むMicrosoftのコンシューマーデスクトップ用OSに存在し、Windows Server 2003にも影響を及ぼす。
一方のCrystal Reports Web Viewerは、Business ObjectsのCrystal Reportsアプリケーションで作成した文書の閲覧や修正を可能にするもの。今回見つかったビューアの脆弱性により、攻撃者は被害者のシステム上でファイルを削除したり、修正できるようになってしまうという。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手