Microsoftは米国時間6月9日、10件のセキュリティアップデートをリリースした。2009年3月に行われたセキュリティカンファレンスCanSecWestのハッキングコンテストで明らかにされた、「Internet Explorer(IE)8」における深刻度が「緊急」の脆弱性1件に対するアップデートなど、記録的な数の脆弱性を修正する月例アップデートとなった。
今回のアップデートでは、31件の脆弱性に対応している。Microsoftの広報担当者は、「この件数は、当社が2003年10月に毎月第2火曜日という日程で月例アップデートのリリースを開始してから最大だ」と述べた。
2009年6月のセキュリティパッチは、IEにおける深刻度が「緊急」の脆弱性8件に対応している。そのうち深刻度がより高いものでは、ユーザーが特別に細工されたウェブページを閲覧すると、リモートでコードが実行されるおそれがある。IE 8の脆弱性は、「Windows 7」リリース候補版(ビルド7100)には影響しないが、Windows 7のベータ版には影響を及ぼす。
今回のアップデートはまた、「Windows 2000 Server」と「Windows Server 2003」に実装された「Active Directory」(AD)の実装、および「Windows XP Professional」とWindows Server 2003にインストールされた「Active Directory Application Mode」(ADAM)における深刻度が「緊急」の脆弱性2件にも対応している。このうち深刻度がより高い脆弱性では、攻撃者にリモートからシステムを制御される可能性がある。
また、「Windows印刷スプーラー」における深刻度が「緊急」の脆弱性3件にも対応している。これらの脆弱性では、影響を受けたサーバが特別に細工されたRPC(リモートプロシージャーコール)リクエストを受信した場合、リモートでコードが実行されるおそれがある。
「Office Word」と「Office Excel」における複数の脆弱性にも対応している。これらの脆弱性では、攻撃者が特別に細工したWordやExcelファイルを使用してリモートでコードを実行したり、マシンを制御したりするおそれがある。また、「PowerPoint」の脆弱性にも対応している。この脆弱性は、限定された対象の攻撃において悪用されたとMicrosoftが2009年4月に警告したもので、5月にWindows版を修正した。
今回のアップデートは、Microsoftが2009年5月に報告した「Internet Information Services」(IIS)ウェブサーバ製品における深刻度が「重要」の脆弱性1件に対応するパッチも含む。
Juniper Networksでセキュリティ調査担当シニアマネージャーを務めるSteve Manzuik氏はこう述べた。「われわれは、(IISの「WebDAV」)脆弱性が実際に悪用された例を確認していなかったが、通常Microsoftがこうした警告を発するのは、顧客が(悪用を警告してきた)からだ」
また、「Microsoft Works」コンバーターにおける深刻度が「緊急」の脆弱性1件、RPCおよびWindowsカーネルにおける深刻度が「重要」の脆弱性それぞれ1件も修正している。さらに、「Windows Search」における深刻度が「警告」の脆弱性1件も修正した。この脆弱性では、ユーザーが検索を実行すると最初の結果として特別に細工されたファイルが返されたり、検索結果から悪質なファイルをプレビューした場合に情報が漏洩するおそれがある。なおデフォルトでは、Windows Searchコンポーネントは「Windows XP」およびWindows Server 2003にプレインストールされていない。
アップデートにより影響を受ける製品としては、「Windows 2000」、Windows XP、Windows XP Professional、「Windows Vista」、Windows Server 2003、「Windows Server 2008」などのOS、「Office 2000」「Office 2003」「Office 2007」「Office XP」などのOffice製品、およびMac向けの「Office 2004 for Mac」「Office 2008 for Mac」などがある。
ほかに影響を受けるソフトウェアとして、「Office Excel Viewer」「Office Word Viewer」、Office互換機能パック(Word、Excel、PowerPoint 2007のファイル形式用)、「Works 8.5」「Works 9.0」「Office SharePoint Server」などがある。
今回のアップデートには、Windowsに搭載されているMicrosoftの「DirectX」ストリーミングメディア技術における脆弱性への修正が含まれていない。この脆弱性は2009年5月末に明らかになったもので、悪意をもって作成された「QuickTime」ファイルにより、コンピュータの制御を完全に許してしまうおそれがある。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス