MS、3月の月例パッチを公開--IE脆弱性へのゼロデイ攻撃を警告

　Microsoftは、攻撃の標的になっている「Internet Explorer（IE） 6」と「IE 7」の新たな脆弱性について警告し、月例の「Patch Tuesday」の一環として、「Windows」と「Microsoft Office」の脆弱性8件に対処するパッチをリリースした。

　Microsoftは、非公開で報告された脆弱性に対処するセキュリティアドバイザリ（981374）を公開した。攻撃者がこの脆弱性を突くことで、悪意あるウェブページを閲覧したユーザーのマシンを制御できるようになる可能性がある、と同社は述べた。

　攻撃の影響を緩和し得る機能がいくつかある。たとえば、すべてのサポートされているバージョンの「Microsoft Outlook」「Microsoft Outlook Express」「Windows Mail」は、デフォルトで、HTML形式の電子メールメッセージを制限付きサイトゾーンで開くという。

　セキュリティアドバイザリは次のように説明している。「『Windows Vista』およびそれ以降のWindowsオペレーティングシステム上の保護モードでは、攻撃者がこの脆弱性を悪用した場合でも、攻撃者が取得するコンピュータでの権限は非常に限定されたものとなるため、脆弱性の影響を制限する手助けとなる。（中略）デフォルトで、『Windows Server 2003』上のIEおよび『Windows Server 2008』上のIEは、『セキュリティ強化の構成』と呼ばれる制限されたモードで実行する。このモードはインターネットゾーンのセキュリティレベルを『高』に設定する。これは、IEの信頼済みサイトゾーンに追加していないウェブサイトに対する『緩和する要素』に該当する」

　セキュリティアドバイザリは、回避方法に関する情報も提供している。Microsoftは、IE 6とIE 7のユーザーは速やかに「IE 8」にアップグレードするよう推奨している。

　Microsoftは、米国時間3月4日に公開されたPatch Tuesdayの事前通知で、WindowsおよびMicrosoft Office製品の脆弱性8件に対処する、深刻度が「重要」のセキュリティ情報2件を9日に公開すると予告していた。詳細は、同社の「2010年3月のセキュリティ情報」に書かれている。

　3月の第1のセキュリティ情報「MS10-016」は、「Windows Movie Maker」の脆弱性に対処する。悪意を持って細工されたMovie Makerのプロジェクトファイルをユーザーに開かせることにより、この脆弱性が突かれる可能性がある。

　Microsoftでシニアセキュリティコミュニケーションズマネージャーを務めるJerry Bryant氏は、「Microsoft Security Response Center」へのブログ投稿で次のように書いた。「『Windows XP』とWindows Vistaはいずれも、影響を受けるバージョン（それぞれ『Movie Maker 2.1』と『Movie Maker 6.0』）を搭載している。『Movie Maker 2.6』にも脆弱性が存在し、ウェブから自由にダウンロードしてインストールできる状態になっている。『Windows 7』を含め、サポートされているプラットフォームにMovie Maker 2.6をインストールしている顧客には、アップデートが提供される」

　この脆弱性は、制限付きで配信されている無料ダウンロード版の「Microsoft Producer 2003」にも影響を及ぼす。「現時点で、当社はMicrosoft Producer 2003のアップデートを提供していない。（中略）当社は、Microsoft Producer 2003の調査を続けるが、顧客に対しては、このアプリケーションをアンインストールするか、入手可能な『Microsoft Fix It』を適用して、プロジェクトファイルタイプの関連付けを削除し、セキュリティレベルを高めるよう推奨する」（Bryant氏の投稿）

　第2のセキュリティ情報「MS10-017」は、現在サポートされている全バージョンの「Microsoft Office Excel」「Microsoft Office 2004 for Mac」「Microsoft Office 2008 for Mac」「Open XML File Format Converter for Mac」、サポートされているバージョンの「Microsoft Office Excel Viewer」「SharePoint 2007」に影響する。この攻撃が脆弱性を突くためには、悪意を持って細工されたファイルをユーザーに開かせる必要がある。

　Microsoftはまた、「Malicious Software Removal Tool（悪意のあるソフトウェアの削除ツール）」をアップデートして、トロイの木馬「Win32/Helpud」に対処した。Win32/Helpudは、人気が高いオンラインゲームのログイン情報を盗む。

　Microsoftはさらに、「Microsoft Virtual PC」「Microsoft Virtual Server」の脆弱性に関するセキュリティ情報「MS09-033」を再公開し、影響を受けるソフトウェアに「Virtual Server 2005」を追加した。

　ソフトウェア大手のMicrosoftは、セキュリティアドバイザリ（981169）に関連する脅威の監視を続けていると述べた。このアドバイザリは、Windowsの比較的古いOSに影響する「VBScript」の脆弱性に関するもので、3月1日に同社が公開した。

　Microsoftは、この脆弱性を突く概念実証コードが公になっているが、有効な攻撃を確認していないと述べた。「Windows 2000」、Windows XP、Windows Server 2003を搭載したシステムを使用している顧客は、回避策を適用するよう推奨されている。Windows 7、Windows Server 2008、「Windows Server 2008 R2」、Windows Vistaを実行している顧客は、影響を受けない。