Microsoftは米国時間9月14日、「Windows」と「Microsoft Office」の脆弱性13件に対処するパッチを公開した。これらの脆弱性の中には、PCに感染するワーム「Stuxnet」に利用されるセキュリティホールも含まれる。
セキュリティ情報「MS10-061」は、Windowsの印刷スプーラーサービスに存在する脆弱性に対処する。このセキュリティ情報によると、印刷スプーラーサービスが認証なしで公開されている脆弱なシステムに、攻撃者が特別に細工した印刷リクエストを送信した場合、コンピュータが制御される可能性があるという。
まずKaspersky Labに、のちにSymantecによって発見されたこのセキュリティホールは、Stuxnetに悪用されている。深刻度は、「Windows XP」については「緊急」、その他のサポートされているバージョンのWindowsについては「重要」と評価されている。
Kasperskyのシニアセキュリティ研究者であるKurt Baumgartner氏は、「パッチが適用されないままだと、Blasterのように、さらに大きな(被害をもたらす)ワームに変わるかもしれない」と述べた。
Microsoftは2010年8月上旬にも、Windowsにおける拡張子「.lnk」が付いたショートカットファイルの処理方法に関連して、Stuxnetが悪用していた「緊急」のセキュリティホールの修正を急遽リリースしていた。最新のパッチは、産業制御システムを標的としながらも、あらゆるネットワーク上のWindowsに広がり得るこのワームに利用される、二次伝搬手法を修正する。
Microsoftはまた、Stuxnetに標的にされている特権昇格の脆弱性2件の修正にも取り組んでいる。「Microsoft TechNet」のブログ記事によると、これらの脆弱性により、攻撃者がすでにシステムでコードを実行する権限を持つか、ほかの手段でシステムに侵入している場合、感染したシステムが攻撃者に完全に制御されるおそれがある。これに対処する修正は今後登場するが、リリースの日時は決まっていない。
2010年9月の月例パッチには、MPEG-4コーデックに存在する「緊急」の脆弱性の修正も含まれる。対応しているすべてのWindowsに影響があり、ユーザーが悪意あるストリーミング動画コンテンツを閲覧すると、攻撃者にコンピュータを制御される可能性がある。
これは、ウェブ閲覧者に対する、いわゆる「ドライブバイ攻撃」に利用されるかもしれない、とnCircleのセキュリティオペレーション担当ディレクター、Andrew Storms氏は述べた。「ユーザーが投稿したコンテンツを視聴する『Halo』のファン(それに、AVI形式の動画を視聴するすべての人)は、これから1週間ほど特に気をつけるべきだ。さもないと、自分のコンピュータがマルウェアに『狙撃』されるかもしれない」
深刻度が緊急のセキュリティ情報はほかに、WindowsのUnicodeスクリプトプロセッサの脆弱性と、「Microsoft Outlook」の脆弱性をそれぞれ修復する2件がある。残りの5件は、深刻度が「重要」のセキュリティ情報で、Microsoftインターネットインフォメーションサービス(IIS)、リモートプロシージャーコール、ワードパッドのテキストコンバータ、Local Security Authority Subsystem Service(LSASS)、Windowsクライアント/サーバランタイムサブシステムの脆弱性に関するものだ。
9月の月例パッチのセットには、「Windows 7」と「Windows Server 2008 R2」を対象とする緊急の更新は1件もなく、「Office 2010」に影響する脆弱性も皆無だった、とMicrosoftは説明した。
一方でMicrosoftは、この9月中に2件のセキュリティアドバイザリを出すと述べた。1つはOutlook Web Accessに影響する脆弱性に関するもので、これは「Microsoft Exchange」の顧客に影響を及ぼす可能性がある。他の1件は更新されたアドバイザリで、これにより、「Outlook Express」と「Windows Mail」を「認証に対する保護の強化」にオプトインできるようになる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」