|
セキュリティレスポンスチームの小野寺匠氏
|
マイクロソフト株式会社は10月10日、同日公開された月例セキュリティパッチについて、報道陣にコメントを発表。全部で6件、最大深刻度「緊急」のものが4件あるものの、セキュリティレスポンスチームの小野寺匠氏は今回の概況として、「一般の利用者の適用は3~5件。限定的なものが多く、あまり大きな影響はないと考えている」と述べた。
個別の内容を見ると、MS07-055では、Windows 2000に含まれる画像表示ソフト「Kodak Image Viewer」が対象。加えて、Windows 2000からアップグレードしたWindows XP/Server 2003にもKodak Image Viewerが残ってしまうため、これらも今回の脆弱性の対象となるが、「(Windows XP/Server 2003を)クリーンインストールした場合は影響を受けないし、個人ユーザーではWindows 2000からのアップグレードは少ないと思われる」(小野寺氏)。
また、Outlook ExpressとWindowsメールに関するMS07-056も、ネットニュース関連が対象であり、現在ではさほど利用ユーザー数が多くないため、影響範囲は限定的という。
今回の中で一番影響が広いのは、Internet Explorerの脆弱性を修正したMS07-057。アドレスバーのなりすましに関する3件と、HTML解釈時のエラー処理方法の脆弱性に関する1件を修正しているが、前者のうち3件についてはすでに情報が公開されている状況だ。それでも小野寺氏は、「アドレスバーのなりすましが多発していた時期と比べると、見破りやすくなっている。公開されてからも悪用はされていないようだし、悪用が広がっていくとは考えていない」とした。
一方で、Wordを対象とするMS07-060については、「ごく狭い範囲」(小野寺氏)とはいえ、公開前に悪用が確認されてしまっているので、「対象範囲のユーザーは早めにパッチを当てた方がよい」と警告する。Word 2003/2007は影響を受けないが、対象となるWord 2000/2002、Office 2004 for Macのユーザーは、早急にパッチを適用することが望ましい。
企業での影響については、「すべての更新が対象になる可能性があり、特にMS07-059については若干の注意が必要」(小野寺氏)とした。それは、SharePoint Server 2007に加えて、OSの機能として提供されているWindows SharePoint Services 3.0の双方が対象となるため。同氏は、「SharePoint Server 2007のユーザーには、明示的にWindows SharePoint Servicesを使っているという感覚がないだろうから、適用し忘れの可能性がある」と話し、注意を呼びかけた。なお、この脆弱性に関しては一部エクスプロイトコードが公開されているものの、マイクロソフトでは悪用された事実は確認していないとしている。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
2007年10月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-oct.mspx
■ 関連記事
・ マイクロソフト、IEの累積修正プログラムなど6件のセキュリティパッチ(2007/10/10)
( 石井 一志 )
2007/10/10 16:51
|