MS、WindowsやOfficeの脆弱性18件に対応--7月の月例アップデートを公開

　Microsoftは米国時間7月11日、WindowsとOfficeの脆弱性18件に対応するパッチを公開した。

　Microsoftは、これらのパッチを7つのセキュリティ情報に分けて配布しており、そのうち5つを最も深刻度の高い「緊急」に分類している。このなかには、ワームを広く感染させる恐れのあるWindowsコンポーネントの脆弱性に対処する緊急パッチも1つ含まれている。そのほかとしては、攻撃で既に利用されたOfficeの脆弱性にも対応している。

　4つのパッチは、「mailslot」と呼ばれるWindowsコンポーネントのセキュリティホールをはじめ、Windows関連の5つの問題に対応している。セキュリティ専門企業Symantecは声明のなかで、mailslotは11日に公開されたもののなかで最もリスクが高いと述べている。特別に作成したネットワークパケットを送信すれば、ユーザーが何をしなくても、侵入者はこのセキュリティホールを使って無防備なコンピュータをリモートから制御できてしまう。Microsoftはセキュリティ情報MS06-035のなかで、Windows 2000、Windows XP、およびWindows Server 2003がこの脆弱性の影響を受けるとしている。

　「mailslot」の脆弱性を悪用すると、ワームを使ってインターネットに大きな混乱を起こすことができる。この脆弱性は、PCのオーナーがファイルを開くなどの操作をしなくても悪質なコードを実行できるため、ワームが自分を複製することも可能だ。

　同様に、WindowsのDHCPクライアントの脆弱性も、悪質なネットワークパケットを使ったリモートからの攻撃を可能にする。しかし、Microsoftのセキュリティ情報MS06-036によると、攻撃者はターゲットと同じサブネットワーク上にいる必要があるという。

　Symantec Security ResponseのディレクターDave Cole氏は声明のなかで、「リモートから悪用できる脆弱性は、ユーザーが操作をしなくてもインターネット経由で攻撃できるため、組織に深刻な脅威を与える可能性がある」と述べた。

　一方、Officeの脆弱性に対応したセキュリティ情報は3つとなっている。これらのうちの1つはExcel専用で、同アプリケーションの合計8件の脆弱性に対処する。ここには、インターネットで既に攻撃用コードが公開されてしまった、いわゆるゼロデイの脆弱性2件も含まれている。

　今回のパッチで対応されたOffice関連の脆弱性13件すべては、悪意があるOffice文書を作成することで悪用できる、とMicrosoftでは警告している。同社によると、悪意のあるOffice文書を開くことで、脆弱なシステムを完全に制御できるようになるという。

　「Office 2000」の場合、電子メールクライアント「Outlook」からファイルを開くときに何も警告を表示しないため、最もリスクが大きくなる、と同社は述べる。OfficeとExcelの脆弱性についての詳細は、セキュリティ情報「MS06-037」「MS06-038」「MS06-039」に記載されている。

　重要なセキュリティ情報5件に加えて、「緊急」より1段階下の格付けである「重要」に分類された2件の警告もMicrosoftは公開した。これらは主にWindowsソフトウェアを稼働するウェブサーバに影響する。

　これら2件のうちの1件であるMS06-034は、新規コンテンツのアップロードを可能にするウェブサーバに主な影響を与えるとMicrosoftでは述べている。攻撃者は、不正なASPファイルをアップロードし、サーバを制御できるようになる。もう一方のMS06-033では、ウェブサーバのアプリケーションフォルダの内容を攻撃者は見ることができる。

　Microsoftは、これら緊急のパッチをすぐにインストールすることを推奨している。アップデートはWindows UpdateやAutomatic Updatesツールを使って入手できる。すぐにパッチを適用することができない場合、一時的な回避策がセキュリティ情報で説明されている。