MS、9月の月例パッチを公開--緊急レベルのWindows脆弱性に対応

　Microsoftは米国時間9月8日、月例パッチの一環としてWindowsに関する「緊急」レベルのアップデート5件をリリースした。

　今回のパッチリリースはそれぞれWindowsの異なるバージョンに影響するが、Microsoftは、2009年7月にコードを完成させた「Windows 7」の最終版にはいずれも該当しないと述べた。

　5件のセキュリティ情報は8件の脆弱性に対応している。Symantec Security ResponseのリサーチマネージャーであるBen Greenbaum氏によると、攻撃者に悪用される可能性が最も高い2件の脆弱性は、WindowsによるASF形式とMP3形式のメディアファイルの処理方法に関係するという。「われわれは過去に同様のエクスプロイトを確認している。こうした悪意あるファイル、たとえばMP3、WMA、WMVなどのファイルが考えられるが、その1つをホストしている危険なウェブサイトをユーザーが訪問するだけで、感染してしまう可能性がある」

　McAfee Avert LabsのディレクターであるDave Marcus氏は、これらの脆弱性のうち2件は特に、「Window Vista」「Windows Server 2008」「Windows Server 2003」のネットワーキングコンポーネントに含まれる深刻な脆弱性と関係があり、これによって悪意あるソフトウェアがPCから別のPCへと感染を広げることが可能になるかもしれないと述べた。

　Marcus氏は声明の中でこう述べた。「これらの脆弱性は悪意あるコードによって悪用される可能性が最も高く、われわれが『Conficker』以降目にした中では最強のワーム候補の2つだ。とはいえ、今日（9月8日）公開されたセキュリティ情報はすべて、攻撃者が脆弱なPCを完全に制御することを可能にするような脆弱性に対処している」

　加えて、Microsoftは2009年8月のセキュリティ情報を更新し、Active Template Library（ATL）に関する問題に対して脆弱だと確認された追加のコントロールに対処したと述べた。

　Greenbaum氏は、8月31日に広く知られることになった「Internet Information Services（IIS）」に存在するゼロデイ脆弱性について、Microsoftはまだ修正パッチをリリースしていないと指摘した。「このパッチがリリースされるまで、一時的な回避策として、われわれは『IIS 5.0』と『IIS 6.0』を使用しているIT管理者に匿名の書き込みアクセスをただちに無効にするよう推奨する。また、ファイアウォールを使用することと、ディレクトリ作成へのアクセスを制限することも推奨する。FTP Serviceのバージョン6.0がインストールされた『IIS 7.0』を使用しているIT管理者は、FTP Serviceのバージョンを7.5にアップグレードすべきだ」（Greenbaum氏）

　すでに、この脆弱性を突いたと見られる攻撃が複数行われている。

　Microsoftは、「当社は今月（2009年9月）にアップデートをリリースする予定はないが、広範な配布に適した水準の質に達し次第、リリースすることになるだろう」と述べた。