UPDATE Microsoftは米国時間12月11日、2007年12月のセキュリティ情報をリリースした。これに含まれる7件のアップデートのうち、3件は「緊急」レベル、4件が「重要」レベルに分類されている。
Windowsに関するアップデートでは、「Internet Explorer」の累積的な更新プログラムと、Windowsカーネル、DirectX、Macrovisionドライバ、Windows Media Fileフォーマットに対する更新プログラムが含まれる。DirectX、Macrovisionドライバ、Windows Media Fileフォーマットの3件は、攻撃者がメディアファイルをターゲットにして悪用する可能性があるという。12月は「Microsoft Office」に関する更新プログラムはない。WindowsとOfficeのすべての更新プログラムはMicrosoft Updateまたは以下に示すそれぞれのセキュリティ情報から入手できる。
このセキュリティ情報には「SMBv2の脆弱性により、リモートでコードが実行される(942624)」というタイトルが付けられている。このセキュリティ情報は「Windows Vista」のユーザーに関係し、「Windows 2000」や「Windows XP SP2」のユーザーは影響を受けない。「CVE-2007-5351」に詳述された脆弱性を修正する。脆弱性はSMBv2を介してデータが転送される方法に存在し、SMBv2で通信しているドメイン構成の環境においてリモートコードが実行される可能性がある。
このセキュリティ情報には「DirectShowの脆弱性により、リモートでコードが実行される(941568)」というタイトルが付けられている。このセキュリティ情報はWindows 2000、Windows XP、「Windows Server 2003」、Windows Vistaに含まれるDirectXのバージョン7.0〜10.0のユーザーに関係する。「CVE-2007-3901」および「CVE-2007-3895」に詳述された2つの脆弱性を修正する。ユーザーがDirectXのストリーミングメディア用の特別に細工されたファイルを開くと、コードが実行される可能性がある。悪用されるとリモートでコードが実行される危険性がある。
このセキュリティ情報には「メッセージキューの脆弱性により、リモートでコードが実行される(937894)」というタイトルが付けられている。このセキュリティ情報は「Windows Server 2000」、Windows 2000、Windows XP SP2のユーザーに関係し、「Windows XP Professional x64」、Windows Server 2003、Windows Vistaのユーザーは影響を受けない。「CVE-2007-3039」に詳述された脆弱性を修正する。メッセージキューサービス(MSMQ)に存在する脆弱性によって、Microsoft Windows 2000 Serverに実装されている場合はリモートコードの実行を可能にし、Microsoft Windows 2000 ProfessionalおよびWindows XPに実装されている場合は特権の昇格を可能にする恐れがある。悪用されるとリモートコードが実行され、特権が昇格される危険性がある。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス