マイクロソフト株式会社は2月9日、WindowsおよびOfficeに関する修正パッチを12件公開した。そのうち、深刻度が最も高い「緊急」となる修正パッチは8件。また、2004年10月に公開されたSMTPの脆弱性に対応した「MS04-035」の更新分もあわせて公開されている。
■ 「緊急」の修正プログラムは8件
Office XPの脆弱性の更新プログラム「MS05-005」は、Office XPに存在する脆弱性により、影響を受けるコンピュータ上で、リモートでコードが実行される問題に対応したもの。この脆弱性を悪用されると、影響を受けるコンピュータを完全に制御する可能性がある。対象は、Office XP SP2/SP3、Project 2002、Visio 2002、Works Suite 2002/2003/2004。
PNG処理の脆弱性の更新プログラム「MS05-009」は、PNGイメージ形式の処理に存在するリモートでコードが実行される脆弱性により、影響を受けるコンピュータで、リモートでコードが実行される問題に対応したもの。対象は、Windows Media Player 9、Windows Messenger 5.0、MSN Messenger 6.1/6.2。なお、Windows Media Player 6.4/7.1/8.0やWindows XP SP"のWindows Media Player 9などでは、この影響は受けない。
ライセンスログサービスの脆弱性の更新プログラム「MS05-010」は、ライセンスログサービスに存在するリモートでコードが実行される脆弱性があり、この脆弱性を悪用されることで、影響を受けるコンピュータを完全に制御される問題に対応したもの。対象は、Windows NT Server 4.0 SP6a/NT Server 4.0 Terminal Server Edition SP6/2000 Server SP3以降/Server 2003/Server 2003 64-bIT Edition for Itanium-based Systems。Windows 2000 ProfessionalやXPでは、この影響は受けない。
SMB(サーバーメッセージブロック)の脆弱性の更新プログラム「MS05-011」は、SMBに存在するリモートでコードが実行される脆弱性により、影響を受けるコンピュータを完全に制御される問題に対応したもの。対象は、Windows 2000 SP3以降/XP SP1以降/XP 64-Bit Edition SP1(Itanium)/XP 64-Bit Edition Version 2003(Itanium)/Server 2003/Server 2003 for Itanium-based Systems。
OLE・COMの脆弱性の更新プログラム「MS05-012」は、OLEが入力検証を処理する方法に存在するリモートでコードが実行される脆弱性と、COM構造化ストレージファイルの処理時にOSおよびプログラムがメモリにアクセスする方法に存在する脆弱性に対応したもの。対象は、Windows 2000 SP3以降/XP SP1以降/XP 64-Bit Edition SP1(Itanium)/XP 64-Bit Edition Version 2003(Itanium)/Server 2003/Server 2003 for Itanium-based Systems。なお、ExchangeやOfficeなどOLEを利用するすべてのアプリケーションがこの脆弱性の対象となるため、早急に対処するよう推奨されている。
DHTML(Microsoft Dynamic HTML)編集コンポーネントのActiveXコントロールの脆弱性の更新プログラム「MS05-013」は、DHTML編集コンポーネントのActiveXコントロールに存在するクロスドメインの脆弱性により、情報の漏えいや影響を受けるコンピュータ上で、リモートでコードが実行される問題に対応したもの。攻劇者がこの脆弱性を悪用する悪質なWebページを作成し、ユーザーがそのページを含むWebサイトを訪問した際、リモートからコードが実行される可能性がある。対象は、Windows 2000 SP3以降/XP SP1以降/XP 64-Bit Edition SP1(Itanium)/XP 64-Bit Edition Version 2003(Itanium)/Server 2003/Server 2003 for Itanium-based Systems。
「MS05-014」は、Internet Explorer用の累積的なセキュリティ更新プログラム。この更新プログラムには、ドッグアンドドロップの脆弱性や、URLのデコーティングゾーンのなりすましの脆弱性、DHTMLメソッドヒープメモリの破壊の脆弱性、チャンネル定義形式のクロスドメインの脆弱性に対応している。対象は、Internet Explorer 5.01 SP3以降/5.5 SP2/6 SP1。
ハイパーリンクオブジェクトライブラリの脆弱性の更新プログラム「MS05-015」は、ハイパーリンクの処理に未チェックのバッファが存在するために起こる脆弱性に対応したもの。攻撃者はリモートでコードが実行されるような不正なハイパーリンクを作成することにより、ユーザーがWebサイトや電子メールメッセージ上の悪質なリンクをクリックした場合、この脆弱性が悪用される可能性がある。対象は、Windows 2000 SP3以降/XP SP1以降/XP 64-Bit Edition SP1(Itanium)/XP 64-Bit Edition Version 2003(Itanium)/Server 2003/Server 2003 for Itanium-based Systems。
■ 「重要」は3件、「警告」は1件
ASP.NETパス検証の脆弱性の更新プログラム「MS05-004」は、ASP.NETに存在する正規化の脆弱性により、ASP.NET Webサイトのセキュリティ設定を無視し、不正アクセスが行われる可能性がある問題に対応したもの。この脆弱性を悪用されると、Webサイトの特定のコンテンツによって、さまざまな操作が行われる可能性がある。対象は、.NET Framework 1.0 SP2/1.0 SP3/1.1/1.1 SP11。深刻度は「重要」。
情報漏えいが起こるWindowsの脆弱性の更新プログラム「MS05-007」は、利用可能な共有リソースにアクセスしたユーザーのユーザー名をリモートで読み取る可能性がある脆弱性に対応したもの。対象は、Windows XP SP1以降/XP 64-Bit Edition SP1(Itanium)。Windows 2000やServer 2003ではこの影響は受けない。深刻度は「重要」。
Windowsシェルの脆弱性の更新プログラム「MS05-008」は、Windowsがドラッグアンドドロップを処理する方法に存在する権限の昇格の脆弱性に対応したもの。攻撃者によって特別な細工がされたWebページが作成され、ユーザーがこのWebサイトを訪問したり電子メールメッセージを表示した場合、攻撃者はユーザーのコンピュータにファイルを保存する可能性がある。これにより、影響を受けるコンピュータが完全に制御される可能性があるというもの。対象は、Windows 2000 SP3以降/XP SP1以降/XP 64-Bit Edition SP1(Itanium)/XP 64-Bit Edition Version 2003(Itanium)/Server 2003/Server 2003 for Itanium-based Systems。深刻度は「重要」。
Windows SharePoint ServicesおよびSharePoint Team Servicesの脆弱性の更新プログラム「MS05-006」は、両製品に存在するクロスサイトスクリプティングおよびなりすましの脆弱性に対応したもの。攻撃者はクロスサイトスクリプティングの脆弱性を悪用し、ユーザーを悪質なスクリプトを実行するように誘導する可能性がある。対象は、Windows SharePoint Services for Windows Server 2003およびSharePoint Team Services from Microsoft。深刻度は「警告」。
これらの修正プログラムは、Windows Updateまたは同社ダウンロードセンターから入手できる。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
Microsoft Office XPの脆弱性により、リモートでコードが実行される(MS05-005)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-005.mspx
PNG処理の脆弱性により、バッファオーバーランが起こる(MS05-009)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-009.mspx
ライセンスログサービスの脆弱性により、コードが実行される(MS05-010)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-010.mspx
サーバーメッセージブロックの脆弱性により、リモートでコードが実行される(MS05-011)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-011.mspx
OLEおよびCOMの脆弱性により、リモートでコードが実行される(MS05-012)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-012.mspx
DHTML編集コンポーネントのActive Xコントロールの脆弱性により、リモートでコードが実行される(MS05-013)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-013.mspx
Internet Explorer用の累積的なセキュリティ更新プログラム(MS05-014)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-014.mspx
ハイパーリンクオブジェクトライブラリの脆弱性により、リモートでコードが実行される(MS05-015)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-015.mspx
ASP.NETパス検証の脆弱性(MS05-004)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-004.mspx
Windowsの脆弱性により、情報漏えいが起こる(MS05-007)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-007.mspx
Windowsシェルの脆弱性により、リモートでコードが実行される(MS05-008)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-008.mspx
Windows SharePoint ServicesおよびSharePoint Team Servicesの脆弱性により、クロスサイトスクリプティングおよびなりすましの攻撃が行われる(MS05-006)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-006.mspx
■ 関連記事
・ マイクロソフト、Server 2003のSMTPの脆弱性に対応する緊急の修正プログラム(2004/10/13)
( 福浦 一広 )
2005/02/09 11:19
|