Microsoftは米国時間11日、「緊急」レベルに分類されるWindows向けのパッチを2つリリースした。だが、Internet Explorer(IE) 6の脆弱性に対処するパッチは、今回リリースされていない。
同社は月例パッチの一環として、3つのパッチをリリースした。そのうち2つは深刻度評価において最高レベルの「緊急」(critical)、残る1つは「重要」(important)に分類されている。同社は12月には緊急レベルのパッチを1つもリリースしていない。
MicrosoftのセキュリティプログラムマネージャーStephen Toulouseは、「12月には緊急レベルのパッチが1つもなかったが、1月に2つも緊急レベルのパッチがリリースされたからといって、今年ずっとこのような状況が続くわけではない」と語った。
緊急レベルに分類されたパッチのうちの1つは、WindowsのHTML Help ActiveXコントロールに関する問題に対処するものだ。セキュリティの専門家は、Microsoftにこの問題について警告し、この脆弱性を悪用するコードが出回っていることから、ベンダー各社にも素早い対応を促していた。
この脆弱性を悪用すると、攻撃者はリモートPCを完全に制御することができるようになり、スパイウェアやポルノダイヤラー(ポルノなどの有料サイトに電話をかけるソフトウェア)を、ユーザーのPCに密かに忍び込ませ、実行させることも可能になってしまうという。
もう1つの緊急レベルのパッチは、Windows NT ServerやWindows XPなどのオペレーティングシステム(OS)に影響するもので、カーソルやアイコンのフォーマット処理に関する脆弱性に対処する。攻撃者はこの脆弱性を悪用すると、マルウェアが仕込まれたウェブページを作成し、ここにアクセスしたユーザーのPCを制御することが可能になる。
McAfeeのリサーチフェローJimmy Kuoは、「3つのパッチのうち2つは、エクスプロイトコードが存在する脆弱性に対処するもので、残る1つについても(エクスプロイトコードが存在する)可能性がある」と語った。
Microsoftは3つ目として、Windowsのインデックスサービスの脆弱性に対応するパッチをリリースしている。これは緊急ではなく、重要レベルに分類されている。Toulouseによると、インデックスサービスは、デフォルトでは無効の設定となっており、攻撃者がコンテンツにアクセスすることがやや困難であるため、このような分類になったという。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」