MSが月例パッチ6件を公開、ゼロデイ攻撃確認済みの2件にも対応


 マイクロソフト株式会社は7月15日、月例のセキュリティ更新プログラム(修正パッチ)6件を公開した。最大深刻度は、4段階で最も高い“緊急”が3件、上から2番目の“重要”が3件。今回の6件の中には、既に攻撃が確認されているDirectShowの脆弱性やVideo ActiveXコントロールの脆弱性の修正も含まれる。

 最大深刻度が“緊急”の修正パッチは、Windows関連の「MS09-028」「MS09-029」「MS09-032」の3件。3件とも、悪意のあるWebページを閲覧しただけで脆弱性を悪用される恐れがある、危険性の高い脆弱性を修正する。

 「MS09-028」は、DirectShowに関する3件の脆弱性を修正する。いずれも、特別に細工されたQuickTimeファイルをユーザーが開いた場合に、任意のコードを実行させられる恐れがある。3件のうち1件は、脆弱性を悪用した限定的な攻撃が確認されたとして、5月29日にマイクロソフトがセキュリティアドバイザリ(971778)を公表していたもの。脆弱性の影響を受ける環境は、Windows XP/2000およびWindows Server 2003上のDirectX 9.0/8.1/7.0。

 「MS09-029」は、Webページにフォントを埋め込む「Embedded OpenTypeフォント」に関する2件の脆弱性を修正する。2件とも、悪意のあるWebページを表示した場合などに、任意のコードを実行させられる恐れがある。2件ともこれまで一般には非公開だった脆弱性で、悪用なども現時点では確認されていない。脆弱性の影響を受けるOSは、Windows Vista/XP/2000およびWindows Server 2008/2003。

 「MS09-032」は、「Microsoft Video ActiveXコントロール」に関する脆弱性を修正する。修正パッチでは、該当するActiveXコントロールがInternet Explorerで実行されないようにKill Bitを設定する。この脆弱性は、これを悪用する攻撃が確認されたとして、7月7日にマイクロソフトがセキュリティアドバイザリ(972890)を公開していたもの。セキュリティアドバイザリの「回避策」を既に適用している場合には、この修正パッチを適用する必要はない。脆弱性の影響を受けるOSは、Windows XPおよびWindows Server 2003。また、Windows Vista/2000およびWindows Server 2008については脆弱性の影響は受けないものの、多層防御の一環として同様の修正プログラムが提供される。

 このほか、最大深刻度が“重要”の修正パッチとして、Office Publisher関連の脆弱性を修正する「MS09-030」、Microsoft Internet Security and Acceleration(ISA)Server 2006の脆弱性を修正する「MS09-031」、Virtual PCおよびVirtual Server関連の脆弱性を修正する「MS09-033」が公開された。




(三柳 英樹)

2009/7/15 11:10