マイクロソフト株式会社は11月12日、11月のセキュリティ更新プログラム(修正パッチ)2件を公開した。脆弱性の最大深刻度は、最も高い“緊急”が1件、2番目に高い“重要”が1件。Microsoft Updateなどを通じて配布している。
最大深刻度が“緊急”の「MS08-069」は、Microsoft XMLコアサービス(MSXML)に関する3件の脆弱性を修正する。影響を受けるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。
MSXMLは、Internet Explorer(IE)やOffice、.NET Frameworkなどに含まれており、環境によってインストールされているMSXMLのバージョンは異なる。脆弱性はMSXMLのバージョン3.0~6.0に影響があり、深刻度はバージョン3.0のみが“緊急”、バージョン4.0~6.0は“重要”となっている。
3件の脆弱性のうち1件はメモリ破損の脆弱性で、特別な細工をされたWebページをIEで表示した際などに、リモートでコードを実行させられる可能性のある、危険度の高い脆弱性となっている。また、この脆弱性については、既に情報も一般に公開されている。ただし、連続して悪用するのは困難な脆弱性だとして、Exploitability Index(悪用可能性指標)については3段階で2番目の「不安定な悪用コードの可能性」とされている。
最大深刻度が“重要”の「MS08-068」は、ファイル共有などに用いられるSMB(Server Message Block)プロトコルに関する1件の脆弱性を修正する。影響を受けるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。この脆弱性が悪用された場合、ユーザーが悪質なサーバーにアクセスした場合に、リモートでコードを実行させられる危険がある。
【追記 13:10】
「MS08-069」で修正するMSXMLについては、1台のPCに複数のバージョンのMSXMLがインストールされている場合がある。MSXMLのバージョン6.0/4.0/3.0は、Windows Vista/XP/2000などのOSにも含まれており、MSXML 5.0はOffice 2007/2003などのOffice関連製品に含まれる。「MS08-069」の修正パッチはMSXMLのバージョンごとに提供されているため、Microsoft Updateなどを実行した場合には、複数の「MS08-069」関連の修正パッチが適用される可能性がある。
■ URL
マイクロソフト 2008年11月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-nov.mspx
( 三柳 英樹 )
2008/11/12 11:29
|