MS、「緊急」レベルのVML脆弱性パッチをリリース--計画を前倒しに

　Microsoftは米国時間9月26日、予定していた期日より2週間早く、Windowsに関する「緊急」レベルのセキュリティパッチをリリースした。

　Microsoftは、サイバー犯罪者が「Internet Explorer（IE）」を介してWindows PCを攻撃するのに悪用してきた脆弱性を修復するため、月例パッチリリースのスケジュールを前倒しにした。この攻撃は、ユーザーが悪質なウェブサイト上のリンクをクリックしたり、電子メールメッセージを開いたりすると、知らないうちに脆弱なWindows PCでマルウェアが実行されるというものだ。

　スパイウェア対策ツールメーカーSunbelt SoftwareのプレジデントであるAlex Eckelberry氏は、電子メールによるインタビューの中で、「Microsoftにしては迅速な対応だった。セキュリティ業界が抱いている懸念に反応を示してくれたことを、うれしく思う」と話した。同脆弱性を悪用した攻撃を監視してきたSunbeltによれば、そうした攻撃の発生頻度は増加しているという。

　今回修復対象となった脆弱性は先週初めて報告されたもので、WindowsにVector Markup Language（VML）を実装する「Vgx.dll」というWindowsコンポーネントに存在している。VMLは、ウェブ上で高品質なベクターグラフィックを表示したり、Windowsに含まれているIEでページを閲覧したりするのに用いられる。Microsoftは同脆弱性を、同社の危険度評価では最も高い「緊急」レベルに認定した。

　Microsoftが発表したセキュリティ情報「MS06-055」によると、「攻撃者は、ユーザーが ウェブサイトを訪問する、またはメッセージを表示した場合にリモートでコードが実行される可能性のある特別な細工がされたウェブページまたは HTML形式の電子メールを作成することにより、この脆弱性を悪用する可能性がある」という。HTMLで記述された電子メールメッセージは、ウェブページのように見せることができる。

　通常Microsoftは、「Patch Tuesday」として知られる毎月第二火曜日にパッチをリリースしている。前回同社がリリースサイクルを前倒しした2006年1月には、IEの画像表示に関する別の脆弱性が、悪質なウェブサイトを使ってWindows PCを攻撃するのに悪用されるという事態が発生していた。

　セキュリティ専門家は、VML脆弱性のパッチを提供する必要性をMicrosoftに説いてきた。あるセキュリティ専門家グループは、米国時間9月22日に非公式パッチのリリースまで敢行している。

　VeriSign傘下のiDefenseで緊急対応チームのディレクターを務めるKen Dunham氏は、「リリースサイクルを前倒しして提供した前回のパッチも、相次ぐ脆弱性の悪用ですでに用をなさなくなっていた。VMLの脆弱性を突いた悪質なサイトにリダイレクトされているドメインは、数百万件に上ると推定されている」と述べた。

　Microsoftのセキュリティアップデートは、「Automatic Updates」を介してWindowsユーザーに配布されており、間もなく「Windows Update」からも入手できるようになる。