MS、12月の月例パッチを公開--ソニーBMGの「rootkit」問題に関するものも - (page 2)

Joris Evers (CNET News.com)2005年12月14日 11時07分

 Microsoft自身も、これらのセキュリティホールを悪用して、脆弱なシステムに悪質なコードをダウンロードする動きが活発化していることに関し、警告を発していた。セキュリティ監視企業Secuniaは、今回の問題を同社の認定レベルの最上位である「非常に深刻」なものとしているが、こうした認定が下されることは非常に稀だ。

 米国時間13日にパッチがリリースされたIEの深刻なバグの2番目のものは、Microsoftが7月、8月、10月のセキュリティ情報で詳述した問題と似通っている。同社によれば、今回のアップデートを適用すると、IEとIEによって不適切に呼び出されるMicrosoftソフトウェアのほかのコンポーネントとのリンクを断ち切ることができるという。こうしてコンポーネントを呼び出すことで、システムが攻撃の脅威にさらされていた。

危険度の低いその他の脆弱性とは

 セキュリティ情報で開示されたその他2件のIEのセキュリティホールは、上述のものと比較すると危険度は低いとMicrosoftは述べている。これらのうち1件は、IEがファイルのダウンロード時にダイアログボックスを表示する方法に関係したものだ。Microsoftは、この問題によって、悪質なウェブサイトを閲覧したPCユーザーが、悪質なコードを実行してしまうおそれがあるとしている。

 もう一方は、サイト(多くは「https」で始まるアドレスを持つ)との通信が暗号化されている場合でも、攻撃者がPCユーザーの閲覧しているサイトを把握できるという問題だ。Microsoftによると、システム所有者が特定のプロキシサーバを経由してインターネットに接続した際に、この問題が起こるという。

 IE以外では、Windows 2000における特権の昇格に関した脆弱性を修復するパッチがリリースされている。攻撃者はこの脆弱性を悪用して、対象システムの完全な支配権を奪うことができるが、マシンに対するローカルアクセスを有していることが条件となると、Microsoftのセキュリティ情報「MS05-055」には記載されている。

 Microsoftはこれらのパッチを適用するよう、ユーザーに促している。「Windows Automatic Updates」といった同社のパッチ適用メカニズムを利用しているユーザーは特に作業をしなくても問題ないが、その他のユーザーは公式サイトからパッチをダウンロードし、マシンにインストールする必要があるという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]