マイクロソフト株式会社は12月14日、IE(Internet Explorer)用の累積的なセキュリティ更新プログラム「MS05-054」など、セキュリティ関連の修正プログラム2点を公開した。最大深刻度はもっとも上の「緊急」。プログラムは、Windows UpdateやMicrosoft Update、ダウンロードセンターなどから入手できる。
修正プログラムのうちMS05-054では、1)ファイルのダウンロードダイアログボックスの操作に関する脆弱性、2)HTTPSプロキシの脆弱性、3)COMオブジェクトインスタンス化のメモリ破損の脆弱性、4)不適切なDocument Object Modelオブジェクトのメモリ破損の脆弱性、などが修正される。最大深刻度は1)と2)が「警告」、3)と4)が緊急となっている。
1)、3)、4)では、悪質な細工がなされたWebページを訪問した場合に、リモートでコードが実行される危険性がある。また2)では、暗号化されたHTTPS通信を利用している場合でも、IEからプロキシサーバーへ送信されるWebアドレスが読み取られてしまう可能性がある。
修正プログラムが提供されるOSは、Windows XP(SP1/SP2)/XP x64 Edition/2000 SP4/Me/98/Server 2003(SP1含む)/Server 2003 for Itanium-based Systems(SP1含む)/Server 2003 x64 Editionファミリ、など。対象となるIEはOSによって異なるが、IE 5.01/IE 5.5/IE 6.0/IE 6.0 SP1などが影響を受ける。
もう1つのセキュリティ修正プログラムは、Windowsカーネルの脆弱性を修正する「MS05-055」。「Asynchronous Procedure Call(APC)のキューの一覧にあるアイテムを処理する方法」に脆弱性があり、悪用されるとユーザー権限の昇格を許す危険性があるが、リモートから利用される危険性はないという。深刻度は上から2番目の「重要」で、Windows 2000 SP4だけが影響を受ける。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
Internet Explorer用の累積的なセキュリティ更新プログラム(MS05-054)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-054.mspx
Windowsカーネルの脆弱性により、特権が昇格される(MS05-055)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-055.mspx
( 石井 一志 )
2005/12/14 11:41
|