マイクロソフト、6月の月例セキュリティ更新プログラムを公開
過去最多タイの計34件の脆弱性を修正
米国Microsoftは6月8日、6月の月例セキュリティ更新プログラムを公開し、Windows、Office、Internet Explorer(IE)などに存在する計34件の脆弱性に対処した。
更新プログラムの件数は、今年に入って最多の10件。そのうち3件は深刻度が4段階評価で最も高い「緊急」レベル、残り7件は2番目に高い「重要」レベルとなっている。
セキュリティ専門家の多くは、特に重要な更新プログラムとして、IE用の累積的なセキュリティ更新プログラム「MS10-035」をあげており、nCircle Network Securityのセキュリティ担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏も、「当然、最も重要なのはIE用の更新プログラムだ」と述べている。
「緊急」に分類されたMS10-035では、計6件の脆弱性が修正されており、その中には、今年3月に開かれたハッキング・コンテスト「Pwn2Own 2010」でオランダの研究者ピーター・ブリューデンヒル(Peter Vreugdenhil)氏が攻撃に利用したIE 8の脆弱性も含まれている。
同氏はこの攻撃で、Windowsのセキュリティ機能である「DEP(Data Execute Prevention:データ実行防止)」と「ASLR(Address Space Layout Randomization:アドレス空間レイアウトのランダム化)」を回避し、Windows 7で動作するIE 8に2分以内で侵入することに成功。賞金1万ドルを獲得している。
一方、Rapid7のセキュリティ研究者ジョシュ・アブラハム(Josh Abraham)氏は、Windowsのメディア解凍の脆弱性に対処した「MS10-033」(深刻度は「緊急」レベル)の重要性を指摘している。「まずは、メディア解凍の脆弱性に対処すべきだ。その次がIEのアップデートだ」(同氏)
ストームズ氏もMS10-033の重要性を指摘している。「細工を施したメディア・ファイルを使えば、簡単にドライブバイ・ダウンロード(紛らわしいダイアログ・ボックスなどを表示し、ユーザーに無自覚にクリックさせることで実行されるダウンロード)攻撃を仕掛けられる」と同氏。MS10-033では2件の脆弱性が修正されており、これらの脆弱性は最新のWindows 7も含め、MicrosoftがサポートしているすべてのWindowsに影響している。
最も多数の脆弱性に対処しているのは「MS10-038」だ。MS10-038では、Excelの各バージョンに含まれている計14件の脆弱性が修正されている。
Microsoftはこのプログラムを「重要」レベルに分類しているが、セキュリティ企業Shavlik Technologiesでセキュリティ&データ担当チーム・マネジャーを務めるジェイソン・ミラー(Jason Miller)氏は、このプログラムを非常に重視している。Excelファイルはビジネスの世界で広く使用されているにもかかわらず、セキュリティ対策が適切に施されていない場合が多く、ハッカーに狙われやすいからだ。
ただし、同氏が最も緊急を要するプログラムとしてあげているのは、アブラハム氏と同じく、MS10-033だ。「動画やオンライン・ストリームは、ビジネスとしてだけでなく、職場にもますます広がりつつある。今、この瞬間にも、多くの職場でだれかしらが動画を見ているだろう。今や、こうしたメディアはWebブラウザと同じ状況に置かれている」と述べている。
今月の更新プログラムではそのほかにも、SharePoint、IIS(インターネットインフォメーションサービス)サーバ、OpenType Compact Font Format(CFF)ドライバ、Windowsカーネル、.NET Framework、Active Xコントロールなどの脆弱性、計34件が修正された。34件というのは、過去最多記録に並ぶ数字だ。
(Gregg Keizer/Computerworld米国版)
.gif)
