マイクロソフト、新たに22件のセキュリティ欠陥を警告

　Microsoftは米国時間12日、10件のソフトウェアセキュリティ勧告を出し、Windowsユーザーと企業の管理者に対して、同社製品に影響する22件の新たな欠陥について警告した。

　この勧告と、同時に公表されたパッチには、Microsoft Windows NT Serverだけに影響する「重要」レベルの欠陥から、Internet Explorerに関連し「緊急」に分類される3つを含む8つのセキュリティホールが含まれる。Microsoftのセキュリティ脆弱性に関する深刻度の評価では「緊急」が最も高く、「重要」はそれに比べて深刻度がわずかに低い。

　今回明らかにされた欠陥のなかには、Microsoft Excelに関するものもあり、これはApple ComputerのMac OS Xにも影響を与える。

　これだけ多くの欠陥が明らかにされたことで、もし管理者が早急にパッチをあてることができなければ、企業のPCが脆弱な状態に置かれるといった事態も起こり得る。今年の4月にも似たような状況が発生したが、このときにはMicrosoftが20カ所の欠陥の詳細について7件の勧告を出していた。そして、この20件のセキュリティホールのうち1件が特に深刻で、Sasserワームの広範な感染につながった。だが、今回公表されたなかには、目立って深刻なものはない。

　「われわれにとって難しいのは、悪意のある者がどこを攻撃しようとするか見極めることだ」とMicrosoftのセキュリティ対策チームでセキュリティプログラムマネジャーを務めるStephen Toulouseは述べ、「一般的には『緊急』のものから対処して欲しい」と語った。

　Toulouseは、1台のコンピュータがすべての欠陥の影響を受けることはないと付け加えた。

　Symantecセキュリティ対策センターのシニアディレクター、Oliver Friedrichsは、3件の脆弱性はSasserのようなワームの発生につながる可能性もあるが、Windowsの大半のバージョンでは脆弱なサービスがデフォルトでは起動しないことから、その危険度は低いと述べている。これらの欠陥は3つのネットワークプロトコル--Simple Mail Transfer Protocol（SMTP）、NNTP（NNTP）、およびNetwork Dynamic Data Exchange（NetDDE）--に関連したもので、Windowsコンピュータでは通常有効になっていない。

　「BlasterやSasserはコアシステムの脆弱性を狙っていたので、パッチを当てていないと攻撃を受ける可能性があった。それに比べて、今回明らかにされた脆弱性はデフォルトの状態では有効になっていない部分にあるものだ。そのため、問題はどれだけの規模で脆弱なシステムが導入されているかという点になる」（Friedrichs）

　MicrosoftではこのSMTP関連の欠陥を、Microsoft Exchange Server 2003に限って「緊急」に分類している。またMicrosoft Exchange 2000にあるNNTPの欠陥も「緊急」となっている。

　そのほか重大レベルの欠陥としては、Internet ExplorerやExcelといったデスクトップコンピュータ用アプリケーションに影響するものがある。Friedrichsによると、こうしたいわゆるクライアント・アプリケーションへの脅威がこのところ増大しているという。

　今回発表になった脆弱性の中では、12件がこのカテゴリーに分類される。Microsoftの評価では、Internet Explorer関連の8件の脆弱性のうちの3件と、Excel関連の2件の、合わせて5件が緊急に分類されている。

　これらの欠陥のいくつかは、被害者が悪質なウェブサイトに誘引された場合にインターネットからプログラムを起動できるようにするウェブコンテンツの作成に利用される可能性がある。

　Symantecでは新たな脆弱性の公表を受け、Internet Threat Conditionの全体評価を1から2へと引き上げている。

　Microsoftはまた、Windows XP Service Pack 2とのコンフリクトを解消すべく、先月公開したグラフィック関連の脆弱性に対処するパッチを再度リリースした。