MS、月例パッチを3つリリース--うち2つは「緊急」レベル

　Microsoftは米国時間11日、「緊急」レベルに分類されるWindows向けのパッチを2つリリースした。だが、Internet Explorer（IE） 6の脆弱性に対処するパッチは、今回リリースされていない。

　同社は月例パッチの一環として、3つのパッチをリリースした。そのうち2つは深刻度評価において最高レベルの「緊急」（critical）、残る1つは「重要」（important）に分類されている。同社は12月には緊急レベルのパッチを1つもリリースしていない。

　MicrosoftのセキュリティプログラムマネージャーStephen Toulouseは、「12月には緊急レベルのパッチが1つもなかったが、1月に2つも緊急レベルのパッチがリリースされたからといって、今年ずっとこのような状況が続くわけではない」と語った。

　緊急レベルに分類されたパッチのうちの1つは、WindowsのHTML Help ActiveXコントロールに関する問題に対処するものだ。セキュリティの専門家は、Microsoftにこの問題について警告し、この脆弱性を悪用するコードが出回っていることから、ベンダー各社にも素早い対応を促していた。

　この脆弱性を悪用すると、攻撃者はリモートPCを完全に制御することができるようになり、スパイウェアやポルノダイヤラー（ポルノなどの有料サイトに電話をかけるソフトウェア）を、ユーザーのPCに密かに忍び込ませ、実行させることも可能になってしまうという。

　もう1つの緊急レベルのパッチは、Windows NT ServerやWindows XPなどのオペレーティングシステム（OS）に影響するもので、カーソルやアイコンのフォーマット処理に関する脆弱性に対処する。攻撃者はこの脆弱性を悪用すると、マルウェアが仕込まれたウェブページを作成し、ここにアクセスしたユーザーのPCを制御することが可能になる。

　McAfeeのリサーチフェローJimmy Kuoは、「3つのパッチのうち2つは、エクスプロイトコードが存在する脆弱性に対処するもので、残る1つについても（エクスプロイトコードが存在する）可能性がある」と語った。

　Microsoftは3つ目として、Windowsのインデックスサービスの脆弱性に対応するパッチをリリースしている。これは緊急ではなく、重要レベルに分類されている。Toulouseによると、インデックスサービスは、デフォルトでは無効の設定となっており、攻撃者がコンテンツにアクセスすることがやや困難であるため、このような分類になったという。