［世界／国内］
マイクロソフト、「緊急」含む5件のセキュリティ修正パッチを来週配布

「緊急」パッチはWindows 2000 SP4が対象

（2007年09月07日）

　米国マイクロソフトは9月6日、定例セキュリティ修正パッチを9月11日に配布することを明らかにした。配布されるパッチは5件で、Windows全般、SharePoint、Visual Studio、IM（インスタント・メッセージング）クライアントを対象としている。

　5件のセキュリティ修正パッチのうち、最も深刻な「緊急」ランクのものは1件で、残り4件はいずれも「重要」にランクされている。ただし、「重要」のうちの2件は、リモート・コード実行を許す脆弱性に対応する。詳細については、6日に掲示された「Security Bulletin Advance Notification」に掲載されている。

　「緊急」ランクのパッチはWindows 2000 Service Pack 4を対象にしており、同OSの1つ以上の脆弱性を修正する。

　一方、「重要」ランクのパッチの1つは、Windows OS（Vistaを含む）に含まれている「Windows Services for UNIX（SFU）」のバグを修正する。マイクロソフト製のSFUはWindowsとUNIXの相互運用を可能にするコンポーネント集で、これをインストールすれば、Windows PCをUNIXのNFSネットワーク共有にマッピングできるようになる。

　残る3つの「重要」パッチはそれぞれ、Windows Server 2003上のSharePoint Services 3.0、Visual Studio（2005 SP1まで）、MSN Messenger/Windows Live Messenger（バージョン6.2/7.0/7.5/8.0）のバグを修正する。

　今回、Vistaを対象とした修正パッチは1個だけだ。ここ数カ月、マイクロソフトはVista向けのパッチを立て続けに配布しており、8月は9件のうち5件がVistaを対象としていた。

　毎度のことだが、マイクロソフトがパッチの詳細を明らかにしないため、修正される脆弱性の具体的な内容を予測するのは難しい。その内容を知るうえで参考になるデンマークのセキュリティ・ベンダー、セクニアのデータベースにも、SFUとSharePoint Servicesの未修正の問題については触れられていない。

　MSN Messenger向けのパッチは、先月末に中国語のセキュリティ・メーリング・リストで報告されたWebcamの脆弱性を修正するためのものと見られる。米国国土安全保障省のUS-CERT（コンピュータ緊急対応チーム）が8月28日に公表した報告書によると、最新バージョンのWindows Live Messenger以外は、意図的に改変されたWebcamセッションを通じて、ヒープ・オーバーフローのバグを利用した攻撃を受ける可能性がある（実際の攻撃コードも8月に一般公開されている）。

　US-CERTはMSN Messengerユーザーに対し、このバグの影響を受けないWindows Live Messenger 8.1に直ちにアップグレードすることを勧めている。

　9月11日に5件すべてのパッチが公開されれば（マイクロソフトは土壇場で配布数を変更することがある）、今年1月～9月の修正パッチは合計で55件になる計算だ。これは昨年同期と同数である。

　5件の修正パッチの配布が始まるのは、米国東部夏時間で9月11日の午後1時から3時の間になる見通しだ。

(グレッグ・カイザー／Computerworld オンライン米国版)