Microsoftは米国時間9月12日、3件のセキュリティ脆弱性を修復するパッチをリリースした。しかし、すでにサイバー攻撃に悪用されている「Word 2000」の脆弱性を対象としたパッチはいまだ発表されていない。
月例パッチリリースの一環として、Microsoftは「Office」および「Windows」ユーザーに対し、ここ数カ月と比べて大幅に少ない3件のセキュリティ脆弱性を修復するパッチを提供した。MicrosoftはOfficeの問題を、同社の危険度評価基準では最も高い「緊急」レベルと認定している。Windowsの問題の危険性は、これよりは低いと評価された。
脆弱性管理企業QualysのリサーチマネージャーAmol Sarwate氏は、「われわれの見るかぎり、今回はどの脆弱性が修復されたかよりも、どの脆弱性が取り残されたかの方が重要だ」と述べ、「最初に目についたのは、Microsoft Word 2000の脆弱性のパッチが含まれていなかった点だ。パッチを製作する十分な時間が取れなかったのだろう」と話した。
先週Microsoftは、これまで知られていなかったWord 2000の脆弱性がサイバー攻撃に悪用されるケースが確認されていると、警告を発していた。この攻撃は、標的とした人物に、不正なWordドキュメントを添付した電子メールを送信するか、その他の方法で同ドキュメントを渡すことによって成り立っている。Microsoftはパッチのリリース準備を進めていると述べたが、米国時間9月6日に発表されたセキュリティアドバイザリには、提供期日の詳細は記されていなかった。
未解決のまま放置されたWord 2000の脆弱性は、12日にパッチがリリースされたOfficeの脆弱性とよく似ている。同脆弱性の影響を受けるのは、「Office 2000/XP/2003」の「Microsoft Publisher」だ。Microsoftのセキュリティ情報「MS06-054」によると、攻撃者は脆弱性の悪用を意図したWordファイルを製作し、これの含まれるウェブサイトをホストしたり、ファイルを電子メールで送信したりして、標的がファイルを開くように画策し、脆弱性を悪用する可能性があるという。
Microsoftは、「脆弱性の悪用がうまくいった場合は、攻撃者にシステムの完全な制御権を奪われるおそれがある。ユーザーには、一刻も早くアップデートを適用することを推奨する」と述べた。
Publisherは、Microsoftのデスクトップパブリッシングアプリケーションである。別のOfficeアプリケーションもセキュリティ更新プログラムが影響する、Publisherと同じファイルを使用するので、Publisherをインストールしているいないに関わらず、全Officeユーザーがパッチを適用することを同社は推奨している。
12日に修復が施されたWindowsの2件の脆弱性は、1件が攻撃者にPCの制御権を奪われるおそれのあるもので、もう1件が情報漏えいにつながる危険性があるものだという。
Microsoftのセキュリティ情報「MS06-052」には、Windows XPのデータ交換プロトコルに存在している脆弱性は、特別なデータパケットを送信して脆弱なシステムを乗っ取る攻撃に悪用され得ると記されていた。ただし、問題のプロトコル「Pragmatic General Multicast(PGM)」はMicrosoft Message Queuing((MSMQ)3.0がインストールされた場合のみサポートされるが、これによるコミュニケーションを可能にするために必要なサービスは初期設定ではインストールされないと、同社は説明している。
一方、Microsoftのセキュリティ情報「MS06-053」には、同社の「インデックスサービス」にクロスサイトスクリプティングの脆弱性があることから、情報漏えいが起こるかもしれないと指摘されていた。攻撃者は同脆弱性を悪用して、脆弱なPC上でスクリプトコードを実行する。このスクリプトは、ウェブサイトのコンテンツのなりすまし、情報の漏えい、ユーザーに可能な任意の操作の実行に悪用されるという。
パッチはすべてオンライン上で入手可能だが、Microsoftの「Automatic Updates」サービスを介して配布される予定だ。Qualysは、修復対象からもれたWordの脆弱性に関して、複数のセキュリティソフトウェアを併用し、電子メールの添付書類を開く際に警告を表示する機能を使うよう、Windowsユーザーに勧めている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス