［世界］
マイクロソフト、「緊急」レベルの月例セキュリティ・パッチ4件を公開

XPの画像処理プログラムに深刻な脆弱性

（2008年09月10日）

　米国Microsoftは9月9日、4日の事前告知どおり、Windowsの深刻な脆弱性に対処する「緊急」レベルの月例セキュリティ更新プログラム4件をリリースした。

　今月のセキュリティ・パッチは、4件とも深刻度が最大の「緊急（critical）」レベルに分類されており、脆弱性はいずれもリモート攻撃に利用されるおそれがある。主にWindows関連のセキュリティ・ホールを修正するものだが、そのうちの1件（「MS08-055」）は、Office製品の1つであるノート・アプリケーション「OneNote」のコンポーネントで見つかったバグを埋めるものだ。

　4件のパッチは合計8点の脆弱性を修正するが、セキュリティ・ベンダーの米国nCircle Network Securityのセキュリティ・オペレーションズ担当ディレクター、アンドリュー・ストームズ（Andrew Storms）氏によると、修正パッチの中でもセキュリティ情報「MS08-052」で対処しているものが最も深刻だという。同パッチは、Windows上で画面表示や印刷などの画像処理を行うプログラム「GDI+（Graphics Device Interface+）」に存在する5点の脆弱性を修正する。

Microsoftが公開した9月の月例セキュリティ・パッチ

　「GDI+を採用したWindows XPおよびWindows Server 2003/2008のいずれかを利用しているユーザーは、必ずアップデートを適用する必要がある」（ストームズ氏）

　5カ月前、Windows 2000で使われている旧バージョンのGDIの脆弱性を突く攻撃をハッカーが行った。この攻撃では、GDIのバグを突く悪意ある画像をWebサイトに設置し、画像をクリックした被害者のPCに許可なくマルウェアをインストールするという。

　Microsoftによれば、GDI+の脆弱性を悪用した攻撃は、今のところ見つかっていない。しかしストームズ氏は、今回リリースされたソフトウェア・パッチをハッカーたちが逆に利用して、新たなエクスプロイト・コードを開発する可能性は十分にあると警告している。

　一方、残り2件のパッチは、デフォルトではWindowsに付属していない「Windows Media Encoder 9」の脆弱性と、Windowsにバンドルされている音楽／ビデオ・プレーヤーの最新版「Windows Media Player 11」の脆弱性に対処するものだ。Media Encoder 9は、米国Adobe Systemsのビデオ編集ソフト用プラグイン「Advanced Windows Media Plug-in for Adobe Premiere 6.5」（ベータ版）に同梱されている。

　セキュリティ・ベンダーの米国Shavlik TechnologiesのCTO、エリック・シュルツ（Eric Schultze）氏は、今回の月例パッチで修正される脆弱性のいくつかは、深刻な攻撃に利用される可能性があるにしろ、そのほとんどはクライアントOSのWindowsを対象としており、サーバOSのWindows Serverにはほぼ影響はないと指摘している。

　「企業のデータセンターにあるサーバに関しては、これらの脆弱性による危険性は低いが、一般ユーザーが利用しているPCについては注意が必要だ」（シュルツ氏）

(Robert McMillan／IDG News Serviceサンフランシスコ支局)