MSが8月の月例パッチ9件を公開、ATL使用アプリなどを修正


 マイクロソフトは12日、月例のセキュリティ更新プログラム(修正パッチ)9件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が4件。既に攻撃が確認されている脆弱性の修正も含まれており、マイクロソフトでは早急に修正パッチを適用するよう呼びかけている。

 最大深刻度が“緊急”の修正パッチは、「MS09-037」「MS09-038」「MS09-039」「MS09-043」「MS09-044」の5件。

 「MS09-037」は、Microsoft ATL(Active Template Library)関連の脆弱性に対する修正パッチ。Microsoft ATLについては、既に脆弱性を悪用する攻撃が確認されているとして、7月30日に定例外の修正パッチ「MS09-035」が公開されているが、MS09-037では脆弱性の存在するMicrosoft ATLを利用している各種アプリケーションを修正する。

 「MS09-037」の対象となるソフトウェアは、Outlook Express 6/5.5、Windows Media Player 11/10/9のほか、Windows ATL Binary、DHTML編集コンポーネントActiveXコントロール、MSWebDVD ActiveXコントロール。各ソフトウェアごとに修正パッチが提供されるため、MS09-037関連だけでも最大5件の修正パッチが適用される可能性がある。

 「MS09-038」は、動画ファイル(AVIファイル)に関する2件の脆弱性を修正する。脆弱性が悪用された場合、AVIファイルを開いた際に任意のコードを実行させられる恐れがある。対象となるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。

 「MS09-039」は、Windowsで名前解決に用いられるWINSに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたパケットを受信した際に任意のコードを実行させられる恐れがある。対象となるOSは、Windows 2000およびWindows Server 2003。

 「MS09-043」は、Office Webコンポーネントに関する4件の脆弱性を修正する。この脆弱性は、既に攻撃が確認されているとして、7月13日にセキュリティアドバイザリが公開されていたもの。今回、正式に修正パッチが公開された。

 「MS09-043」の対象となるソフトウェアは、Office 2003/XP、Office Webコンポーネント(2003/XP/2000)、IIS 2006/2004、BizTalk Server 2002、VisualStudio .NET 2003、Office Small Business Accounting 2006。Office Webコンポーネントは単体でも無料配布されているほか、他のソフトウェアなどに同梱されていることもあるため、Office製品をインストールしていない場合でも修正パッチの適用対象となることがありえる。

 「MS09-044」は、リモートデスクトップに関する4件の脆弱性を修正する。リモートデスクトップ接続のActiveXコントロールにも影響があるため、Webページを閲覧しただけで脆弱性を悪用される恐れがある。脆弱性の影響を受けるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。

 このほか、最大深刻度が“重要”の修正パッチとして、ASP.NET関連の「MS09-036」、メッセージキュー関連の「MS09-040」、ワークステーションサービス関連の「MS09-041」、Telnet関連の「MS09-042」の4件が公開された。

 また、7月の月例パッチとして公開された「MS09-029」について、Windows XP/2000およびWindows Server 2003環境で適用した場合に不具合が起きていた問題についても対処し、新バージョンの修正パッチを公開している。



(三柳 英樹)

2009/8/12 14:03