Windowsにまた「緊急」の欠陥--マイクロソフト、7月の月例パッチは7つ

　Microsoftは米国時間13日、新たに7つのWindows用セキュリティパッチをリリースしたが、その中の2つは「緊急」の脆弱性に対処するものとなっている。

　Microsoftはこれとは別に、「Download.Ject」セキュリティホールの影響を受けたシステムを浄化するツールも用意した。同社はこれまで、感染を防ぐための設定変更用パッチをリリースしていたが、パッチはまだ出されていなかった。

　セキュリティベンダーのSymantecは、新しい脆弱性に「高リスク」の脅威が含まれるとしている。同社は声明の中で、「新たに発表されたこれらの脆弱性は、リモートから悪用され、DoS（サービス拒否）攻撃に使われてしまう可能性がある。また、これが機密データの紛失につながるおそれもある」と述べている。「われわれは、ユーザーに対し、これらの脆弱性を修正するセキュリティパッチを直ちに適用するよう強く勧告する」（同声明）

　Microsoftと同社の顧客はセキュリティ関連の多数の問題に頭を悩ませてきたが、今回の欠陥でさらに頭痛のタネが増えたことになる。Microsoftはセキュリティを一段と重視することを確約していた。

　13日に発表されたセキュリティパッチのうち、２つはMicrosoftの深刻度で最高にあたる「緊急」レベルに分類される問題を修正するものだ。

　このうち、1つは「Task Scheduler」にある脆弱性で、外部ソースからデータを受け取るメモリ内部のプログラムである未チェックのバッファに起因する。未チェックバッファには、データの有効性を確認するコマンドが含まれていない。

　Microsoftは、もしユーザーが管理者特権でログオンしていると、この脆弱性をうまく悪用した攻撃者が、影響を受けたシステムを完全に自分の支配下に置き、プログラムのインストール、データの削除、全特権を持つ新アカウントの作成などができるようになってしまう、と述べている。同社はさらに、このシステム上のシステム特権が少ないアカウントのユーザーは、管理者特権で操作ができるユーザーよりもリスクが低い、としている。

　もう一方のパッチは、「HTML Help」と「showHelp」の脆弱性に関するもの。Microsoftはこれに関して、ユーザーが管理者特権でログオンしていると、影響を受けたシステムが攻撃者によって完全に制御されてしまうと説明している。