Microsoftの8月の月例パッチリリースは、3カ月連続で大規模なものとなった。
Microsoftは米国時間8月8日、月例セキュリティアップデートサイクルの一環として、10件以上のセキュリティ情報を発表した。このうち9件が、同社のセキュリティ評価基準では最も深刻な「緊急」レベルに認定されている。今回の警告は、Windowsに関する20件およびOfficeに関する3件の脆弱性を網羅するもので、これらすべての脆弱性に修復が施された。
「PowerPoint」の脆弱性を含む複数の問題はすでに公に知られており、サイバー攻撃に悪用されていた。しかし、このたびのアップデートでは、Microsoftみずから発見したバグも対象になっていると、同社は話している。
McAfeeのAvert Labsでシニアマネージャーを務めるMonty Ijzerman氏は、「Microsoftは8日に23件の脆弱性に対するパッチをリリースしたが、この数は同社が月例パッチプログラムを開始して以来最多となっている」と、声明の中で述べた。Microsoftがパッチを配布する前に、全脆弱性のうち11件が公表されていたり、攻撃に利用されていたりしたと、Ijzerman氏は説明している。
特に注目に値するのが、Microsoftによれば既にPCへの攻撃に悪用されているというWindowsの深刻な脆弱性だ。セキュリティ情報「MS06-040」によれば、この問題は、ファイル共有やプリンタ共有などのネットワーキング機能をサポートするWindowsのサービスに関わるものであるという。
インタビューに応じたMicrosoftのセキュリティプログラムマネージャーChristopher Budd氏は、「われわれは、この問題を最重視してテストおよび実装作業を優先的に行ってもらうよう、ユーザーに勧告している」と話した。パッチを直ちに適用できない場合は、回避策をとることを同社は推奨している。
MS06-040が対象としている脆弱性は、今回のパッチリリースで修復された問題の中で、攻撃者が遠隔地から、ユーザーによる操作を介さずにWindows PCを操れる唯一のものだと、Budd氏は述べている。もっとも、Microsoftが現時点で確認している同脆弱性を悪用した攻撃は、「非常に限定的な攻撃」だけだという。
2003年に蔓延し、大混乱を巻き起こしたことで悪名高いワーム「MSBlast」も、リモートプロシージャコールというWindowsのコンポーネントに関係する、これとよく似た脆弱性を悪用していた。
Microsoftは7月に行ったアップデートで、WindowsおよびOfficeの脆弱性18件に対応するセキュリティ情報を発表した。同社によるパッチの大量提供は、12件のセキュリティ情報がリリースされた6月から始まっている。その前の5月にはわずか3件、4月には5件、3月には2件と、セキュリティ情報の数が減少していたあとの方針転換だった。
8月にパッチがリリースされた脆弱性の中で、ユーザー側の作業を必要とせずに攻撃に悪用できるものには、URLを数字で表示されるIPアドレスに変換するWindowsのDNS(Domain Name System)に関わる問題がある。Microsoftのセキュリティ情報「MS06-041」によると、同脆弱性を悪用するためには、標的とするマシンと同じサブネットワーク内から攻撃を仕掛けるか、ユーザーをだまして、悪質なサーバに対するDNSリクエストを送信させる必要があるという。
今回修復対象となった問題の多くは、ウェブもしくは電子メールを介した攻撃に悪用される可能性がある。ウェブブラウザ「Internet Explorer」や電子メールクライアント「Outlook Express」、その他のWindowsおよびOfficeのコンポーネントに存在するセキュリティホールに、そうした危険性が潜んでいるという。
例えば、セキュリティ情報「MS06-042」はIEに関する8件のバグを修復するものだが、これらの脆弱性を悪用した攻撃は、悪質なウェブサイトを閲覧するようユーザーを誘導することで成功すると、Microsoftは説明した。
今回の月例パッチリリースでは大量のアップデートが提供されたが、Microsoftの製品に存在する既知の脆弱性すべてが修復対象となったわけではない。例えば、先月修復が施された「mailslot」と呼ばれるWindowsコンポーネントのバグの変種は、手つかずのままだった。同脆弱性を悪用するコンセプト実証コードは、7月にインターネット上で公開されている。
Microsoftは、緊急レベルのパッチを早急に適用するよう、ユーザーに強く促している。これらのアップデートは、「Windows Update」および「Automatic Updates」ツールを用いてダウンロードすることが可能だ。パッチの即時適用が不可能なユーザーに対しては、セキュリティ情報の中で回避策が提示されている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
日本のキャッシュレス化の未来--「現金大国」が世界に追いつくための課題と道筋 
OpenAIの検索エンジン「SearchGPT」、グーグル検索と違う5つのこと 
「スマートリング時代」の到来を予感させる3つの理由