Microsoftは、攻撃の標的になっている「Internet Explorer(IE) 6」と「IE 7」の新たな脆弱性について警告し、月例の「Patch Tuesday」の一環として、「Windows」と「Microsoft Office」の脆弱性8件に対処するパッチをリリースした。
Microsoftは、非公開で報告された脆弱性に対処するセキュリティアドバイザリ(981374)を公開した。攻撃者がこの脆弱性を突くことで、悪意あるウェブページを閲覧したユーザーのマシンを制御できるようになる可能性がある、と同社は述べた。
攻撃の影響を緩和し得る機能がいくつかある。たとえば、すべてのサポートされているバージョンの「Microsoft Outlook」「Microsoft Outlook Express」「Windows Mail」は、デフォルトで、HTML形式の電子メールメッセージを制限付きサイトゾーンで開くという。
セキュリティアドバイザリは次のように説明している。「『Windows Vista』およびそれ以降のWindowsオペレーティングシステム上の保護モードでは、攻撃者がこの脆弱性を悪用した場合でも、攻撃者が取得するコンピュータでの権限は非常に限定されたものとなるため、脆弱性の影響を制限する手助けとなる。(中略)デフォルトで、『Windows Server 2003』上のIEおよび『Windows Server 2008』上のIEは、『セキュリティ強化の構成』と呼ばれる制限されたモードで実行する。このモードはインターネットゾーンのセキュリティレベルを『高』に設定する。これは、IEの信頼済みサイトゾーンに追加していないウェブサイトに対する『緩和する要素』に該当する」
セキュリティアドバイザリは、回避方法に関する情報も提供している。Microsoftは、IE 6とIE 7のユーザーは速やかに「IE 8」にアップグレードするよう推奨している。
Microsoftは、米国時間3月4日に公開されたPatch Tuesdayの事前通知で、WindowsおよびMicrosoft Office製品の脆弱性8件に対処する、深刻度が「重要」のセキュリティ情報2件を9日に公開すると予告していた。詳細は、同社の「2010年3月のセキュリティ情報」に書かれている。
3月の第1のセキュリティ情報「MS10-016」は、「Windows Movie Maker」の脆弱性に対処する。悪意を持って細工されたMovie Makerのプロジェクトファイルをユーザーに開かせることにより、この脆弱性が突かれる可能性がある。
Microsoftでシニアセキュリティコミュニケーションズマネージャーを務めるJerry Bryant氏は、「Microsoft Security Response Center」へのブログ投稿で次のように書いた。「『Windows XP』とWindows Vistaはいずれも、影響を受けるバージョン(それぞれ『Movie Maker 2.1』と『Movie Maker 6.0』)を搭載している。『Movie Maker 2.6』にも脆弱性が存在し、ウェブから自由にダウンロードしてインストールできる状態になっている。『Windows 7』を含め、サポートされているプラットフォームにMovie Maker 2.6をインストールしている顧客には、アップデートが提供される」
この脆弱性は、制限付きで配信されている無料ダウンロード版の「Microsoft Producer 2003」にも影響を及ぼす。「現時点で、当社はMicrosoft Producer 2003のアップデートを提供していない。(中略)当社は、Microsoft Producer 2003の調査を続けるが、顧客に対しては、このアプリケーションをアンインストールするか、入手可能な『Microsoft Fix It』を適用して、プロジェクトファイルタイプの関連付けを削除し、セキュリティレベルを高めるよう推奨する」(Bryant氏の投稿)
第2のセキュリティ情報「MS10-017」は、現在サポートされている全バージョンの「Microsoft Office Excel」「Microsoft Office 2004 for Mac」「Microsoft Office 2008 for Mac」「Open XML File Format Converter for Mac」、サポートされているバージョンの「Microsoft Office Excel Viewer」「SharePoint 2007」に影響する。この攻撃が脆弱性を突くためには、悪意を持って細工されたファイルをユーザーに開かせる必要がある。
Microsoftはまた、「Malicious Software Removal Tool(悪意のあるソフトウェアの削除ツール)」をアップデートして、トロイの木馬「Win32/Helpud」に対処した。Win32/Helpudは、人気が高いオンラインゲームのログイン情報を盗む。
Microsoftはさらに、「Microsoft Virtual PC」「Microsoft Virtual Server」の脆弱性に関するセキュリティ情報「MS09-033」を再公開し、影響を受けるソフトウェアに「Virtual Server 2005」を追加した。
ソフトウェア大手のMicrosoftは、セキュリティアドバイザリ(981169)に関連する脅威の監視を続けていると述べた。このアドバイザリは、Windowsの比較的古いOSに影響する「VBScript」の脆弱性に関するもので、3月1日に同社が公開した。
Microsoftは、この脆弱性を突く概念実証コードが公になっているが、有効な攻撃を確認していないと述べた。「Windows 2000」、Windows XP、Windows Server 2003を搭載したシステムを使用している顧客は、回避策を適用するよう推奨されている。Windows 7、Windows Server 2008、「Windows Server 2008 R2」、Windows Vistaを実行している顧客は、影響を受けない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」