Microsoftの8月の月例パッチリリースは、3カ月連続で大規模なものとなった。
Microsoftは米国時間8月8日、月例セキュリティアップデートサイクルの一環として、10件以上のセキュリティ情報を発表した。このうち9件が、同社のセキュリティ評価基準では最も深刻な「緊急」レベルに認定されている。今回の警告は、Windowsに関する20件およびOfficeに関する3件の脆弱性を網羅するもので、これらすべての脆弱性に修復が施された。
「PowerPoint」の脆弱性を含む複数の問題はすでに公に知られており、サイバー攻撃に悪用されていた。しかし、このたびのアップデートでは、Microsoftみずから発見したバグも対象になっていると、同社は話している。
McAfeeのAvert Labsでシニアマネージャーを務めるMonty Ijzerman氏は、「Microsoftは8日に23件の脆弱性に対するパッチをリリースしたが、この数は同社が月例パッチプログラムを開始して以来最多となっている」と、声明の中で述べた。Microsoftがパッチを配布する前に、全脆弱性のうち11件が公表されていたり、攻撃に利用されていたりしたと、Ijzerman氏は説明している。
特に注目に値するのが、Microsoftによれば既にPCへの攻撃に悪用されているというWindowsの深刻な脆弱性だ。セキュリティ情報「MS06-040」によれば、この問題は、ファイル共有やプリンタ共有などのネットワーキング機能をサポートするWindowsのサービスに関わるものであるという。
インタビューに応じたMicrosoftのセキュリティプログラムマネージャーChristopher Budd氏は、「われわれは、この問題を最重視してテストおよび実装作業を優先的に行ってもらうよう、ユーザーに勧告している」と話した。パッチを直ちに適用できない場合は、回避策をとることを同社は推奨している。
MS06-040が対象としている脆弱性は、今回のパッチリリースで修復された問題の中で、攻撃者が遠隔地から、ユーザーによる操作を介さずにWindows PCを操れる唯一のものだと、Budd氏は述べている。もっとも、Microsoftが現時点で確認している同脆弱性を悪用した攻撃は、「非常に限定的な攻撃」だけだという。
2003年に蔓延し、大混乱を巻き起こしたことで悪名高いワーム「MSBlast」も、リモートプロシージャコールというWindowsのコンポーネントに関係する、これとよく似た脆弱性を悪用していた。
Microsoftは7月に行ったアップデートで、WindowsおよびOfficeの脆弱性18件に対応するセキュリティ情報を発表した。同社によるパッチの大量提供は、12件のセキュリティ情報がリリースされた6月から始まっている。その前の5月にはわずか3件、4月には5件、3月には2件と、セキュリティ情報の数が減少していたあとの方針転換だった。
8月にパッチがリリースされた脆弱性の中で、ユーザー側の作業を必要とせずに攻撃に悪用できるものには、URLを数字で表示されるIPアドレスに変換するWindowsのDNS(Domain Name System)に関わる問題がある。Microsoftのセキュリティ情報「MS06-041」によると、同脆弱性を悪用するためには、標的とするマシンと同じサブネットワーク内から攻撃を仕掛けるか、ユーザーをだまして、悪質なサーバに対するDNSリクエストを送信させる必要があるという。
今回修復対象となった問題の多くは、ウェブもしくは電子メールを介した攻撃に悪用される可能性がある。ウェブブラウザ「Internet Explorer」や電子メールクライアント「Outlook Express」、その他のWindowsおよびOfficeのコンポーネントに存在するセキュリティホールに、そうした危険性が潜んでいるという。
例えば、セキュリティ情報「MS06-042」はIEに関する8件のバグを修復するものだが、これらの脆弱性を悪用した攻撃は、悪質なウェブサイトを閲覧するようユーザーを誘導することで成功すると、Microsoftは説明した。
今回の月例パッチリリースでは大量のアップデートが提供されたが、Microsoftの製品に存在する既知の脆弱性すべてが修復対象となったわけではない。例えば、先月修復が施された「mailslot」と呼ばれるWindowsコンポーネントのバグの変種は、手つかずのままだった。同脆弱性を悪用するコンセプト実証コードは、7月にインターネット上で公開されている。
Microsoftは、緊急レベルのパッチを早急に適用するよう、ユーザーに強く促している。これらのアップデートは、「Windows Update」および「Automatic Updates」ツールを用いてダウンロードすることが可能だ。パッチの即時適用が不可能なユーザーに対しては、セキュリティ情報の中で回避策が提示されている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」