MS、6月の月例パッチを公開--10件のセキュリティ情報で34件の脆弱性を修正

　Microsoftは米国時間6月8日、6月の月例パッチをリリースした。今回は少なくとも34件の脆弱性を修正する10件のセキュリティ情報が公開され、大規模なものとなった。

　これらのセキュリティ情報のうち3件は、遠隔からコードを実行される攻撃の恐れがあることから、深刻度が「緊急」に指定されている。影響を受ける製品には、「Windows」「Microsoft Office」「Internet Explorer」「Internet Information Services（IIS）」が含まれる。

　6月の一連のパッチでは、「Microsoft SharePoint Server」に存在する既知のクロスサイトスクリプティング脆弱性と、公に議論されていたInternet Explorerに存在するデータ漏えいを引き起こすセキュリティホールも修正されている。

　Microsoftは、特に「MS-033」（Windows）、「MS10-034」（ActiveXのKill Bit）、「MS10-035」（Internet Explorer）に注意を払うようユーザーに促している。これは、これらのセキュリティ情報が悪質なハッカーによって近いうちに悪用される恐れのある問題に対する修正を含んでいるためだ。

　これら3つのセキュリティ情報から抜粋した概要は以下の通り。

• MS10-033：このセキュリティ更新プログラムは、非公開で報告された2件のMicrosoft Windowsに存在する脆弱性を解決します。これらの脆弱性で、ユーザーが特別に細工されたメディアファイルを開くか、またはWebサイトやWebコンテンツを配信するアプリケーションから特別な細工がされたストリーミングコンテンツを受け取った場合、リモートでコードが実行される可能性があります。このセキュリティ更新プログラムは、Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows VistaおよびWindows Server 2008のQuartz.dll（DirectShow）、Microsoft Windows 2000、Windows XP、Windows Server 2003のWindows MediaフォーマットランタイムおよびMicrosoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7およびWindows Server 2008 R2のAsycfilt.dll（COMコンポーネント）の深刻度を「緊急」に評価しており、Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows VistaおよびWindows Server 2008のWindows Mediaエンコーダー9 x86およびx64の深刻度を「重要」に評価しています。
• MS10-034：このセキュリティ更新プログラムは非公開で報告された2件のマイクロソフトのソフトウェアの脆弱性を解決します。このセキュリティ更新プログラムの深刻度はすべてのサポートされているエディションのMicrosoft Windows 2000、Windows XP、Windows VistaおよびWindows 7について「緊急」、すべてのサポートされているエディションのWindows Server 2003、Windows Server2008およびWindows Server 2008 R2について「警告」と評価しています。この脆弱性は、ユーザーがInternet Explorerで特定のActiveXコントロールをインスタンス化する特別な細工がされたWebページを表示した場合、リモートでコードが実行される可能性があります。この更新プログラムには4つのサードパーティのActiveXコントロール用のKill Bitも含まれています。
• MS10-035：このセキュリティ更新プログラムはInternet Explorerに存在する非公開で報告された5件の脆弱性と、一般に公開された1件の脆弱性を解決します。これらの脆弱性の中で最も深刻な脆弱性が悪用された場合、ユーザーがInternet Explorerを使用して特別に細工されたWebページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。このセキュリティ更新プログラムの深刻度をMicrosoft Windows 2000 Service Pack 4上のInternet Explorer 6 Service Pack 1について「緊急」、Windowsクライアント上のInternet Explorer 6、Internet Explorer 7およびInternet Explorer 8について「緊急」、Windowsサーバー上のInternet Explorer 6、Internet Explorer 7およびInternet Explorer 8について「警告」と評価しています。

　Qualysの最高技術責任者（CTO）であるWolfgang Kandek氏は、10件のうち4件のセキュリティ情報がゼロデイ脆弱性の問題を扱っており、その中でも、Core Securityが2010年2月に公にした情報漏えいのゼロデイ脆弱性を修正するMS10-035がもっとも重大だと指摘している。

　また今回は、ZDIがCanSecWestで開催したハッキングコンテストPwn2Ownで、セキュリティ研究者のPeter Vreugdenhil氏が利用した脆弱性も修正されている。このコンテストで、Vreugdenhil氏は複数のセキュリティホールと攻撃手法を組み合わせることによって、DEPやASLRなどのすべての保護手段を迂回した。

　セキュリティ情報「MS10-040」も興味深いものだ。これはすべてのバージョンのISSで遠隔から悪用可能な脆弱性を対象としているが、管理者が「Channel Binding Update」をダウンロードしインストールして、Windows認証を有効にした場合にのみ問題がある。さらに悪用にはシステム上にアカウントが必要であり、脆弱なシステムの数はかなり少ないものになると見られる。Microsoftはこれを「重要」なアップデートであると指定している。