logo

MS、月例パッチを3つリリース--うち2つは「緊急」レベル

Dawn Kawamoto(CNET News.com)2005年01月12日 12時47分
  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間11日、「緊急」レベルに分類されるWindows向けのパッチを2つリリースした。だが、Internet Explorer(IE) 6の脆弱性に対処するパッチは、今回リリースされていない。

 同社は月例パッチの一環として、3つのパッチをリリースした。そのうち2つは深刻度評価において最高レベルの「緊急」(critical)、残る1つは「重要」(important)に分類されている。同社は12月には緊急レベルのパッチを1つもリリースしていない。

 MicrosoftのセキュリティプログラムマネージャーStephen Toulouseは、「12月には緊急レベルのパッチが1つもなかったが、1月に2つも緊急レベルのパッチがリリースされたからといって、今年ずっとこのような状況が続くわけではない」と語った。

 緊急レベルに分類されたパッチのうちの1つは、WindowsのHTML Help ActiveXコントロールに関する問題に対処するものだ。セキュリティの専門家は、Microsoftにこの問題について警告し、この脆弱性を悪用するコードが出回っていることから、ベンダー各社にも素早い対応を促していた。

 この脆弱性を悪用すると、攻撃者はリモートPCを完全に制御することができるようになり、スパイウェアやポルノダイヤラー(ポルノなどの有料サイトに電話をかけるソフトウェア)を、ユーザーのPCに密かに忍び込ませ、実行させることも可能になってしまうという。

 もう1つの緊急レベルのパッチは、Windows NT ServerやWindows XPなどのオペレーティングシステム(OS)に影響するもので、カーソルやアイコンのフォーマット処理に関する脆弱性に対処する。攻撃者はこの脆弱性を悪用すると、マルウェアが仕込まれたウェブページを作成し、ここにアクセスしたユーザーのPCを制御することが可能になる。

 McAfeeのリサーチフェローJimmy Kuoは、「3つのパッチのうち2つは、エクスプロイトコードが存在する脆弱性に対処するもので、残る1つについても(エクスプロイトコードが存在する)可能性がある」と語った。

 Microsoftは3つ目として、Windowsのインデックスサービスの脆弱性に対応するパッチをリリースしている。これは緊急ではなく、重要レベルに分類されている。Toulouseによると、インデックスサービスは、デフォルトでは無効の設定となっており、攻撃者がコンテンツにアクセスすることがやや困難であるため、このような分類になったという。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

-PR-企画特集