logo

マイクロソフトが6月の月例パッチをリリース、DirectXの脆弱性などに対処

Robert Lemos(CNET News.com)2004年06月09日 15時15分
  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間8日、Windows OS用のセキュリティパッチを2つリリースしたが、今回はあるオンラインゲーム機能に見つかった問題と、いくつかのアプリケーションで同社が添付しているサードパーティプログラムの欠陥を修正するものだけだった。

 1つめのパッチは、DirectXのDirectPlayネットワークゲーム機能に関する問題を修正するものだ。この機能をサポートするゲームは、インターネット上で対戦モードを提供できる。このセキュリティの欠陥を突くことで、攻撃者は接続を中断し、ゲームをクラッシュさせることができる。

 2つめのパッチはVisual Studio .Net 2003、Outlook 2003 with Business Contact ManagerとMicrosoft Business Solutions CRM 1.2に付属しているサードパーティ製品、Crystal Reports Web Viewerに関するセキュリティ問題を修正するものだ。この欠陥によって、サービス拒絶攻撃(DOS攻撃)が可能になったり、攻撃者にコンピュータ上の情報にアクセスされてしまう恐れがある。

 この2つの欠陥は、Microsoftのセキュリティに関する深刻度評価システムで、下から2番目の「警告(moderate)」にあたるとされている。

 「たとえMicrosoftが開発していないソフトウェアでも、われわれが提供しているので、このパッチを発表した」と、同社セキュリティプログラム管理者のStephen Toulouseは述べた。

 Microsoftが今年に入ってセキュリティに関する情報を発表したのは、今回のソフトウェアアップデートで17回めだ。ただし、パッチで修正された脆弱性の数は実際にはもっと多い。

 Microsoftは一連の欠陥に対し、4月中頃にパッチを発表したが、それでもその17日後にインターネットに放たれたSasserコンピュータワームの拡大を防ぐことはできなかった。

 今回発表になった2つの欠陥は、攻撃者がコンピュータを制御することを可能にするものではないため、ワーム作者がこれを悪用してSasserのようなプログラムを作成することはできない。

 ネットワークゲームに関する欠陥は、Microsoftの無料のピアツーピアゲームシステムを使うゲームにだけ影響するもので、クライアントサーバアーキテクチャを利用するQuakeやUnreal Tournamentシリーズのような大半のマルチプレーヤーゲームには影響しない。この欠陥は、Windows 98、98SE、ME、2000、XPとXP 64ビットを含むMicrosoftのコンシューマーデスクトップ用OSに存在し、Windows Server 2003にも影響を及ぼす。

 一方のCrystal Reports Web Viewerは、Business ObjectsのCrystal Reportsアプリケーションで作成した文書の閲覧や修正を可能にするもの。今回見つかったビューアの脆弱性により、攻撃者は被害者のシステム上でファイルを削除したり、修正できるようになってしまうという。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集