MS、6月の月例パッチをリリース--これまでで最高の21件の脆弱性に対応

　Microsoftが同社のソフトウェアに存在する21件の脆弱性に対するパッチをリリースした。このうち2件をのぞく19件が、標的となったコンピュータ上で悪質なコードを実行するために、侵入者に悪用されるおそれがあるという。

　Microsoftは米国時間6月13日、月例パッチリリースの一環として、10件以上のセキュリティ情報を発表した。このうち8件は、同社の危険度評価基準では最も深刻な「緊急」レベルに設定されている。修復の対象となったのは、「Windows」「Internet Explorer」「Word」「PowerPoint」「Exchange Server」である。

　Microsoftがこれほど多くの脆弱性に対するパッチをリリースしたことはかつてなかったと、セキュリティ専門家らは指摘する。

　脆弱性管理企業QualysのVulnerability Management Labでマネージャーを務めるAmol Sarwate氏は、「Microsoftのセキュリティアップデートが21件に上ったなどということは、聞いたことがない。また、そのうち19件までがリモート実行の脆弱性を解決するものであるのも前代未聞だ」と述べた。

　QualysのシニアプロダクトマネージャーJonathan Bitle氏によると、今回のセキュリティ情報の中で最も重要なのは、ルーティングおよびリモートアクセスに関するWindowsの脆弱性を修復する「MS06-025」だという。

　ルーティングおよびリモートアクセスに関するこの脆弱性は、Windows 2000が稼働するシステムにおいては緊急レベル、Service Pack 1もしくは2を適用したWindows XPと、Service Pack 1を適用したWindows Server 2003においては「重要」（Microsoftの評価基準の上から2番目）レベルの問題となっている。

　Qualysはこのほかにも、Microsoftの評価では重要レベルにとどまっているが、Microsoft Exchange Serverの「Outlook Web Access」に存在する脆弱性「MS06-029」に対するパッチも、IT管理者にとっては重要性が高いととらえている。

　緊急レベルのアップデートのうち4件は、Windowsのすべてのバージョンでリモートコードの実行を招くおそれのある脆弱性を修復する。Internet Explorerコンポーネントの累積的なアップデート「MS06-021」は、同ウェブブラウザのバージョン5.01および6が対象となっている。また、「Windows Media Player」の脆弱性アップデート「MS06-024」は、バージョン7.1および9および10が対象だ。残りの2件は、「Microsoft Jscript」の脆弱性アップデート「MS06-023」と、ART画像レンダリングの脆弱性アップデート「MS06-022」である。

　そのほか、グラフィックレンダリングエンジンのバグに関するセキュリティ情報「MS06-026」が、緊急レベルと認定されている。この問題は、Windows 98、Windows 98 Second Edition（SE）、Windows Millennium Edition（ME）にのみ影響を与えるという。

　Officeを対象とした2件のアップデートも緊急レベルだ。Wordの脆弱性アップデート「MS06-027」は「Microsoft Works」も対象としている。また、PowerPointの脆弱性アップデート「MS06-028」は、すでに提供されていたパッチと差し替えられたものである。

　重要レベルのアップデートには、Windowsの「Server Message Block（SMB）」コンポーネントの脆弱性を修復する「MS06-030」がある。この脆弱性が攻撃者に悪用されると、より上位のシステム特権が奪われるおそれがあるという。一方、「RPC Mutual Authentication」の問題を解決する「MS06-031」と、WindowsのTCP/IP脆弱性に対処する「MS06-032」は、「警告」レベルと評価されている。