マイクロソフトの月例アップデート、7月度は3件の「緊急」含む6件
DirectXの脆弱性は解消されるが、Active Xのほうは攻撃回避策にとどまる米国Microsoftは7月9日、6件のセキュリティ・アップデート(月例パッチ)を、米国東部標準時間の7月14日午後1時ごろにリリースすると発表した。今月は3件が「緊急(critical)」となっている。
6件のセキュリティ・アップデートのうち、3件はWindowsの脆弱性に対応し、残りはPublisher、ISA(Internet Security and Acceleration)Server、Virtual PCおよびVirtual Serverの問題に対応する。
Windows向けの3件は、Microsoftが設定する4段階の危険度ランキングで最高レベルとされる「緊急(critical)」に指定され、残る3件はそれよりも1ランク低い「重要(important)」となっている。
今回のセキュリティ・アップデートで注目を集めているのは、ゼロデイ攻撃の危険性がある、DirectXに含まれるDirectShowの脆弱性。3件の緊急パッチのうちの1つは、この脆弱性を解消するものだとされている。
米国nCircle Network Securityのセキュリティ業務担当ディレクター、アンドリュー・ストームズ(Andrew Storms)氏は、DirectShowの脆弱性に加えて、Internet Explorer(IE)に含まれるActive Xコントロールの脆弱性にも言及し、「重要なのは、これら既知のバグを修正することだ」と語った。
DirectShowの脆弱性については、Microsoft Security Research Center(MSRC)の広報担当者、ジェリー・ブライアント(Jerry Bryant)氏が9日付のブログ・エントリに「対処する」と記している。
この脆弱性は、かねてからMicrosoftが警告を発していたものだが、同社は6月の月例アップデートまでに修正パッチを開発することができなかった。同社は5月末、DirectShowのQuickTime構文解析プログラムに含まれるバグを悪用した攻撃が発生していることを認めている。
また、Active Xのバグにつけ込む攻撃も6月初めから確認されており、Windows XPを搭載するPCがハイジャックされたケースが報告されている。同バグを発見した研究者によると、Microsoftは12カ月以上前から脆弱性の詳細な内容を把握しているはずだという。
この点をMSRCのディレクター、マイク・リービー(Mike Reavey)氏に尋ねたところ、同社がこのバグの存在を知ったのは2008年春だったことを認めた。ただし、今年6月末の時点で攻撃の事実を知っていたという点は否定している。「攻撃について知ったのは、セキュリティ・アドバイザリをリリースする前日だった」(リービー氏)
リービー氏によると、Active Xの脆弱性に対応する修正プログラムは、バグ自体を修正するものではなく、多くの「キルビット」を設定することで問題のあるActive Xコントロールを使えないようにするものだという。
つまり、7月6日のセキュリティ・アドバイザリに記載されていた手作業による対策を自動実行するということだ。リービー氏は、「これにより、既知の攻撃はすべてブロックできる」としたうえで、完全な修正パッチをいずれリリースすると述べている。
(Gregg Keizer/Computerworld米国版)
