マイクロソフト株式会社は3月11日、月例のセキュリティ更新プログラム(修正パッチ)3件を公開した。3件の最大深刻度は、4段階で最も高い“緊急”が1件、上から2番目の“重要”が2件。いずれもWindowsに関する脆弱性を修正する。
最大深刻度が“緊急”の「MS09-006」は、Windowsカーネルに関する3件の脆弱性を修正する。対象となるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。また、Windows 7のベータ版や、Windows Vista SP2ベータ版、Windows Server 2008 SP2ベータ版にも影響があり、それぞれ修正パッチが用意されている。
「MS09-006」の3件の脆弱性のうち、「Windowsカーネルの入力の検証の脆弱性(CVE-2009-0081)」が深刻度“緊急”の脆弱性、「Windowsカーネルのハンドルの検証の脆弱性(CVE-2009-0082)」と「Windowsカーネルの無効なポインターの脆弱性(CVE-2009-0083)」が深刻度“重要”の脆弱性となっている。
「Windowsカーネルの入力の検証の脆弱性(CVE-2009-0081)」は、Windowsメタファイル(WMF)または拡張メタファイル(EMF)形式の画像を読み込んだ際に、任意のコードを実行させられる危険があるというもの。残りの2件は、悪用された場合に特権の昇格が起こる可能性がある。
ただし、脆弱性の悪用可能性指標については3件とも「2 - 不安定な悪用コードの可能性」または「3 - 機能する見込みのない悪用コード」と判定されており、確実に動作する悪用コードが作られる可能性は低いが、サービス拒否攻撃や情報漏えいに用いられる可能性があるとされている。
最大深刻度が“重要”の「MS09-007」は、WindowsのSChannel(セキュリティで保護されたチャネル)のセキュリティパッケージに関する1件の脆弱性を修正する。脆弱性が悪用された場合、証明書ベースの認証でユーザーのなりすましが行われる危険がある。対象OSは Windows Vista/XP/2000およびWindows Server 2008/2003。
同じく最大深刻度が“重要”の「MS09-008」は、DNSおよびWINSサーバーに関する4件の脆弱性を修正する。4件とも、脆弱性が悪用された場合にユーザーのなりすましが行われる危険がある。対象OSはWindows Server 2008/2003およびWindows 2000 Serverで、サーバー系OSのみとなっている。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
マイクロソフト 2009年3月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-mar.mspx
( 三柳 英樹 )
2009/03/11 12:18
|