マイクロソフトから5月の月例パッチ--新たな脆弱性のレベルは「重要」

　Microsoftは米国時間11日、Windows XPとWindows Server 2003で新たに見つかった脆弱性の詳細を明らかにした。この脆弱性が悪用されるとリモートから悪質なコードを実行されてしまうという。

　同社では今回の問題を、上から2番目の「重要」に分類した。一方、ウイルス対策ソフトウェアメーカーのSymantecは、この脆弱性を悪用された場合に生じる影響に言及し、これを「高リスク」に分類した。

　この欠陥は、Windowsの「ヘルプとサポートセンター」がユーザーから提供された情報を検証する方法に関連している。同社では、この脆弱性に対処するパッチをリリースし、「できる限り早期にアップデートをインストールする」よう顧客に呼びかけている。このパッチは、欠陥を伝える速報とともに同社のセキュリティウェブサイトで公開されている。

　Microsoft Security Response Centerのセキュリティプログラムマネジャー、Stephen Toulouseによると、この情報はMicrosoftが定期的に実施している月例のセキュリティアップデートの一環としてリリースされたという。Toulouseは分類について、Microsoftでは通常ユーザーがなにもしなくても悪用が行われる場合に限り、脆弱性を最高レベルの「重大」に指定していると語った。

　SymantecおよびMicrosoftによると、今回の脆弱性ではユーザーのシステムに危害が加えられるまでには、いくつもの操作が必要になるという。たとえば、攻撃者がこの脆弱性を悪用するためのつくったウェブページを公開し、しかもまだパッチを当てていないシステムを利用するユーザーにこのページにアクセスさせ、さらにいくつかの操作をさせる必要がある。

　Microsoftが11日にリリースした欠陥修正用のパッチでは、このほか2カ所に変更を加えてWindowsのセキュリティ機能を強化する。その1つは、ユーザーがDVDデコーダをアップグレードできるようにするWindows XPの機能を削除したことで、これにより同機能の悪用ができなくなった。もう1つは「新しいハードウェアの検索」ウィザード実行後にシステムのハードウェア情報を送信するよう要求する「ヘルプとサポートセンター」の機能を削除したことで、今後は新しいハードウェアのインストール作業が終了すると、ハードウェア情報の送信を求められる代わりに、エラーメッセージが表示されるようになる。