サイト内検索

【 ここから本文 】

• TOP
• >  News : セキュリティ
• >  

セキュリティ

---

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

［米国］
Microsoft、「緊急」3件を含むセキュリティ修正パッチを来週公開

7件の脆弱性のうち、5件がWindows Vista対象

（2007年12月07日）

　米国Microsoftは12月6日、11日に公開する予定の7件の月例セキュリティ更新プログラムに関する解説情報を、事前通知として同社のWebサイトに掲載した。これらのプログラムではWindowsとInternet Explorer（IE）の脆弱性が修正されるという。

　7件のセキュリティ更新プログラムで修正される脆弱性のうち、3件は深刻度評価が「緊急」（マイクロソフトの評価システムで深刻度が最も高いことを示す）、残りの4件は「重要」（同じく2番目に高いことを示す）となっている。なお、今回の事前通知も通常どおり、限られた情報しか公表されていない。

　1年前にリリースされたWindows Vistaは、これら7件のうち5件の脆弱性の影響を受ける。米国nCircleのセキュリティ・オペレーション・ディレクター、アンドルー・ストームズ（Andrew Storms）氏は、「Microsoftは、Vistaは安全なOSだと宣伝してきたが、やはりこのOSにもたくさんのパッチが必要だったということだ」と指摘する。

　またStorms氏は、7件のセキュリティ更新プログラムのうち、内容が確実に予想できるのは1件しかないと述べている。同氏は、今回の事前通知の「マイクロソフト セキュリティ情報 5」で挙げられている脆弱性は、「Windowsに付属するMacrovisionのDRM（デジタル著作権管理）アプリケーションのバグ」だと予想している。この脆弱性は「重要」と評価されており、Windows XPとWindows Server 2003に影響する。

　Microsoftは11月初め、Windowsにバンドルされているサードパーティの違法コピー防止ソフトウェアのバグを攻撃者が盛んに悪用していることを明らかにした。このソフトウェアはMicrosoftがMacrovisionからライセンスしているもので、Vista向けにアップデートされた。このため、Vistaはバグの影響を受けない。MacrovisionはWindows XPとWindows Server 2003用の代替ドライバをすぐにリリースしたが、Microsoftは、更新プログラムの準備とテストには時間がかかるとしていた。

　Storms氏は、これ以外の6件の脆弱性の内容については予想がつかないとしながらも、「マイクロソフト セキュリティ情報 7」で挙げられているものは、「WPAD（Web Proxy Automatic Discovery）の脆弱性かもしれない」と語っている。

　Microsoftのセキュリティ・チーム「Microsoft Security Response Center（MSRC）」は12月3日、Windowsがインターネット上のほかのコンピュータを探す方法に含まれるバグが再び表面化したとしてユーザーに注意を促した。攻撃者がこのバグを悪用し、ユーザーを信頼できないWeb Proxy Auto-Discovery（WPAD）サーバにアクセスさせ、そこから悪意あるWebサイトに誘導するおそれがある。

　Microsoftは1999年に、.comドメイン内のコンピュータ向けにこの問題を修正した。だが、最近ニュージーランドで開かれたセキュリティ・コンファレンスでMSRCの研究者が、.com以外のドメイン内のコンピュータは、依然としてこの脆弱性の影響を受けると指摘していた。

　7件の月例セキュリティ更新プログラムは11日の午後1時ごろ（米国東部時間）、WindowsとIE以外のソフトウェアに対応するセキュリティ以外の重要な更新プログラムとともに公開される。

　土壇場で変更がなければ、来週の月例セキュリティ更新プログラムの公開により、Microsoftの2007年のセキュリティ情報の公開件数は69件となる。なお、2006年は78件、2005年は55件だった。

(Gregg Keizer／Computerworld オンライン米国版)

---

---

▲ページの先頭へ戻る

Insight

---

---

---

---

key Person

---

---

---

---