Microsoftは米国時間8月11日、9件の修正パッチを公開した。そのうち5件は「緊急」レベルで、「Windows」などのソフトウェア製品の脆弱性を修正するものだ。
9件のパッチは、Windows、「Windows .NET Framework」「Microsoft Office」「Microsoft Visual Studio」「Microsoft ISA Server」「Microsoft BizTalk Server」「Remote Desktop Connection Client for Mac」の19件の脆弱性に対処している。
今回対応した脆弱性の中には、Microsoftが2009年7月に警告した、「Office Web Components」に関係する脆弱性も含まれている。同コンポーネントは、スプレッドシートやチャートなどのドキュメントをウェブ上に掲載するのに使用される。Microsoftは今回の発表で、この脆弱性を突いた攻撃をすでに確認していると述べた。影響を受けるのは、「Office XP」「Office 2003」「Internet Security & Acceleration Server 2004」および「同2006」「Office Small Business Accounting 2006」だという。
この脆弱性や2009年8月の月例パッチで対処した他の脆弱性に関する詳しい情報は、Microsoftのウェブサイト上に掲載されたセキュリティ情報のページから入手できる。
Microsoftは8月6日、月例となっているパッチの公開を予告した。
SymantecのシニアリサーチマネージャーであるBen Greenbaum氏は、2009年8月に修正された脆弱性の多くはActiveXコントロールに関するものだと指摘し、脆弱性の多くは、悪意あるコードが埋め込まれたウェブページをユーザーに訪問させるだけで悪用可能だと付け加えた。
Greenbaum氏はメールの中で次のように述べた。「8月にパッチがリリースされたActiveXの脆弱性はいずれも、容易に悪用が可能で、平均的なコンピュータユーザーにさえ影響を及ぼす可能性がある。たとえば、マシンにMicrosoft Officeをインストールしているユーザーは、Microsoft Office Web Componentsの脆弱性を突かれる可能性がある。同様に、『Windows XP SP3』または『Windows Vista』を使用している各ユーザーも、リモートデスクトップ接続の問題のいずれかに影響を受けるかもしれない」
実際には、Officeのすべてのバージョンが影響を受けるわけではない。Web Componentsの脆弱性は最新バージョンの「Office 2007」には影響しないからだ。影響を受けるOfficeのプログラムについては、このセキュリティ情報でリストを閲覧できる。
いずれにせよ、Microsoftなどの企業が公開する大量の定例パッチと予定外のパッチに対応しなければならないITの専門家にとっては、長く厳しい夏が続くことになる、とMcAfeeとLumensionは指摘した。
McAfee Avert LabsのDave Marcus氏は声明の中でこう述べた。「この夏は途切れることなくパッチが公開されている。サイバー犯罪者がすでに深刻な脆弱性の一部を悪用して脆弱なWindows搭載コンピュータを乗っ取っているので、Microsoftはこれらのパッチによって遅れを取り戻そうとしている」
LumensionのアナリストPaul Henry氏は、パッチの範囲がさらに進み、カーネルレベルの問題を扱うのではないかという懸念もあったと述べた。そうはならなかったものの、それでもやはり最新のパッチはかなり頭痛の種になる、と同氏は述べた。
Henry氏は声明の中でこう述べた。「通常よりも月例パッチで公開されるパッチ件数が多い夏が終わった後に、IT労働者が最も望まないのは、Microsoftがまた大量のパッチを公開することだ。残念ながら今日、この通りになった。Microsoftが計9件のセキュリティアップデートをリリースし、そのうち5件は緊急レベルで、7件は混乱を生じる再起動が必要だからだ」
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス