マイクロソフトが6月の月例パッチをリリース、DirectXの脆弱性などに対処

　Microsoftは米国時間8日、Windows OS用のセキュリティパッチを2つリリースしたが、今回はあるオンラインゲーム機能に見つかった問題と、いくつかのアプリケーションで同社が添付しているサードパーティプログラムの欠陥を修正するものだけだった。

　1つめのパッチは、DirectXのDirectPlayネットワークゲーム機能に関する問題を修正するものだ。この機能をサポートするゲームは、インターネット上で対戦モードを提供できる。このセキュリティの欠陥を突くことで、攻撃者は接続を中断し、ゲームをクラッシュさせることができる。

　2つめのパッチはVisual Studio .Net 2003、Outlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2に付属しているサードパーティ製品、Crystal Reports Web Viewerに関するセキュリティ問題を修正するものだ。この欠陥によって、サービス拒絶攻撃（DOS攻撃）が可能になったり、攻撃者にコンピュータ上の情報にアクセスされてしまう恐れがある。

　この2つの欠陥は、Microsoftのセキュリティに関する深刻度評価システムで、下から2番目の「警告（moderate）」にあたるとされている。

　「たとえMicrosoftが開発していないソフトウェアでも、われわれが提供しているので、このパッチを発表した」と、同社セキュリティプログラム管理者のStephen Toulouseは述べた。

　Microsoftが今年に入ってセキュリティに関する情報を発表したのは、今回のソフトウェアアップデートで17回めだ。ただし、パッチで修正された脆弱性の数は実際にはもっと多い。

　Microsoftは一連の欠陥に対し、4月中頃にパッチを発表したが、それでもその17日後にインターネットに放たれたSasserコンピュータワームの拡大を防ぐことはできなかった。

　今回発表になった2つの欠陥は、攻撃者がコンピュータを制御することを可能にするものではないため、ワーム作者がこれを悪用してSasserのようなプログラムを作成することはできない。

　ネットワークゲームに関する欠陥は、Microsoftの無料のピアツーピアゲームシステムを使うゲームにだけ影響するもので、クライアントサーバアーキテクチャを利用するQuakeやUnreal Tournamentシリーズのような大半のマルチプレーヤーゲームには影響しない。この欠陥は、Windows 98、98SE、ME、2000、XPとXP 64ビットを含むMicrosoftのコンシューマーデスクトップ用OSに存在し、Windows Server 2003にも影響を及ぼす。

　一方のCrystal Reports Web Viewerは、Business ObjectsのCrystal Reportsアプリケーションで作成した文書の閲覧や修正を可能にするもの。今回見つかったビューアの脆弱性により、攻撃者は被害者のシステム上でファイルを削除したり、修正できるようになってしまうという。