Microsoftは米国時間14日、「緊急」レベルの脆弱性を修正する3つのパッチを公開した。これらの脆弱性を悪用されると、悪質な攻撃者にリモートからコンピュータをコントロールされてしまうおそれがある。
公開されたパッチの1つは、Internet Explorerの脆弱性を修正するもので、ほかの2つはWindowsのHTML HelpとServer Message Blockの問題に対応するものだ。同社は今月の月例パッチとして、これら3つのセキュリティパッチを含め、あわせて10種類のパッチを公開した。
McAfeeフェローのJimmy Kuoは、「これらは間違いなく重要な意味を持つパッチだ。リモートからコードを実行する問題に対処するパッチは3つある・・・1つは幅広く普及したIE向けで、あとの2つはすべてのWindows PCにインストールさているHTML HelpとServer Message Blockを修正するためのものだ」と語っている。
このほか、WindowsとメールサーバのExchangeに影響を与える「警告」レベルの問題に対応するセキュリティパッチも4つ公開されている。また、Windows、Windows Services for UNIX、Internet Security and Acceleration Server、Small Business Serverのそれぞれに見つかった「重要」レベルの問題に対応するパッチもリリースされた。
Microsoftの深刻度評価システムでは、PCユーザーが一切操作しなくてもワームが感染するセキュリティ問題は、最高レベルの「緊急」に分類される。また、「重要」に分類される欠陥はユーザーのデータに被害を与えたり、システムリソースを脅かすものであり、「警告」は中程度のセキュリティホールで、デフォルトの設定を変更するなどの対応で制止可能なものとなっている。
Microsoftによると、今回公表された緊急レベルの3つの欠陥を放置すると、侵入者にコンピュータを乗っ取られてしまう可能性があるという。IEの問題はPNG Image Rendering Memory Corruptionの脆弱性に関連するもので、Windows XP Service Pack 2のIE 6を含む各種バージョンに影響を及ぼすおそれがある。
PNG画像は、JPEGと同じく、多くのマルチメディアフォーマットで利用されている。このIEの脆弱性は、PNG画像の読み込み/処理時にフォームの入力欄に問題を生じさせるもので、これによりバッファオーバーフローが発生し、システムがリモートから攻撃を受けるようになってしまう。
Symantec Security ResponseのシニアディレクターVincent Weaferは、「これら3つのなかではPNGの脆弱性が最も深刻だ。これはファイルフォーマットの欠陥で、ユーザーが意識するようなものではない。だからこそ、ユーザーは注意する必要がある」と述べている。
Windows HTML Helpの脆弱性は、Windows XPのSP1およびSP2、ならびにWindows 2000のSP 3とSP4や、そのほかのバージョンやサービスパックにも影響を与える。
さらに、Server Message Blockの脆弱性は、攻撃者がPCに侵入することを可能にするものだが、ただしこの脆弱性を悪用するには攻撃者がシステムにアクセスする権限を持っている必要がある。この欠陥は、Windows XPのSP1およびSP2、ならびにWindows 2000のSP 3とSP4の各システムに影響を及ぼす。
Microsoftは先週、同社の事前告知プロセスの一環として、これらのセキュリティパッチについての情報を公表していたが、そのなかには公開予定の10種類のパッチのうち、少なくとも1つは緊急の脆弱性に対応するものになると書かれていた。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス