Microsoftは米国時間7月14日、攻撃の対象となっていた「Microsoft DirectShow」と「Microsoft Video ActiveX」の「緊急」レベルの脆弱性を修正するパッチと、PCの遠隔操作を可能にする「Embedded OpenType」フォントエンジンおよび「Microsoft Office Publisher」のセキュリティホールを修正するパッチをリリースした。
月例セキュリティアップデートの計6件のパッチにより、「Windows」「Microsoft Office」「Microsoft Internet Security and Acceleration Server」「Virtual PC」「Virtual Server」の9件の脆弱性が修正される。
DirectShowの3件の脆弱性は、特別に細工された「QuickTime」ファイルをユーザーが開いた場合に、攻撃者によるリモートでのコード実行を可能にするものだ。Microsoftは2009年5月、これらの脆弱性の1つを突く攻撃を確認したとして警戒を呼びかけた。
ActiveXコントロールのパッチは、ActiveXコントロールを使用する「Internet Explorer(IE)」で悪意あるウェブページをユーザーが閲覧した場合に、リモートでのコード実行を可能にする脆弱性に対応したものだ。Microsoftは7月6日、この脆弱性に関して回避策の実行を推奨した。
「緊急」レベルの脆弱性の影響を受けるソフトウェアは、「Windows 2000」「Windows XP」「Windows Vista」「Windows Server 2003」「Windows Server 2008」となっている。影響を受ける「DirectX」のバージョンは、「DirectX 7.0」「DirectX 8.1」「DirectX 9.0」だ。
「重要」レベルの脆弱性の影響を受けるのは、「2007 Microsoft Office System Service Pack 1」「Microsoft Internet Security and Acceleration Server 2006」「Microsoft Virtual PC 2004」「Microsoft Virtual PC 2007」「Microsoft Virtual Server 2005 R2」となっている。
Microsoftはさらに、「Malicious Software Removal Tool」(ダウンロードはこちら)をアップデートし、悪質なセキュリティプログラム「Win32/FakeSpypro」を削除できるようにした。このプログラムは、ユーザーをだまして、必要でない偽のセキュリティ対策ソフトウェアを購入させようとするものだ。
一方、Microsoftによると、「Office Web Components」の脆弱性に対応する包括的なアップデートは、広範囲に配布する準備がまだ整っていなかったという。同社は7月13日、この脆弱性を突いた攻撃が行われていると発表した。同社はセキュリティアドバイザリ(973472)で、「Fix-It」ツールを用いた自動的な回避策を実装するよう推奨している。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス