マイクロソフト、5月の月例セキュリティパッチをリリース

　Microsoftは米国時間5月13日、Microsoft WordおよびPublisherの重大なセキュリティホールを修正したほか、数週間に渡ってゼロデイ攻撃につながるエクスプロイトコードが出されてきた問題で、Windowsの脆弱性を解消するセキュリティパッチをリリースした。

　ゼロデイ攻撃のエクスプロイトコードは、とりわけ危険性が高いとされている。大半のセキュリティホールは、エクスプロイトコードが出回る前に修正されるが、すでにゼロデイ攻撃へとつながるエクスプロイトコードがリリースされた脆弱性を含むソフトウェアが稼動するコンピュータは、修正パッチが発表されるまで、攻撃にさらされ続けることになる。

　重要なWindowsの脆弱性が、「Microsoft Jet Database Engine 4.0」で発見された。この脆弱性により、攻撃者は悪意のあるプログラムをインストールしたり、データを修正したりすることが可能となり、影響を受けるコンピュータの制御権が完全に奪われる恐れがある。

　企業向けセキュリティサービスを提供するQualysの脆弱性研究所マネージャーであるAmol Sarwate氏は、この脆弱性を悪用してコンピュータに攻撃を仕掛けられる状況が、これまで存在してきたのを、Microsoftとしても認識していたことを明らかにしている。

　Microsoftが公表した他の重要なセキュリティパッチでは、1件のMicrosoft Wordのセキュリティホールと、2件のMicrosoft Publisherのセキュリティホールが修正されている。ユーザーが、巧みに製作されたWordまたはPublisherのファイルを開いてしまうと、影響を受けたコンピュータ上では、攻撃者にリモートでコードを実行される恐れがあったが、この脆弱性が解消される。

　さらにMicrosoftは、「Windows Live OneCare」や「Windows Defender」などの同社セキュリティ製品に用いられているMicrosoft Malware Protection Engineを、攻撃者がシャットダウンおよび再起動可能にする、「警告」レベルの2件のセキュリティホールを修正した。

　Sarwate氏によれば、約1カ月に渡り、ゼロデイ攻撃につながるエクスプロイトコードが出回っている、コアなWindowsオペレーティングシステムの脆弱性を修正するためのセキュリティパッチは、今回のリリースには含まれていないという。

　この未修正の脆弱性は、ローカルユーザーがシステム上で特権を昇格して、リソースやデータへのアクセスを拡大することを許す恐れがある。「一見、それは無害に思えるかもしれない」と、Sarwate氏は述べつつも、実際は内部のユーザーに適切な制御権を与えるのみならず、外部の侵入者が、内部ユーザーの昇格された特権を悪用し、損害を引き起こす恐れがあるとしている。

　Sarwate氏は「このゼロデイ脆弱性の修正パッチも入手可能となるように願っている」と語った。

　5月の月例セキュリティパッチに関する詳細な情報は、こちらで参照できる。