［世界］
マイクロソフト、「緊急」7件を含む12件の月例パッチを来週リリース

「リモート攻撃を許す可能性のある深刻な欠陥」と警告

（2008年08月08日）

　米国Microsoftは8月7日、来週リリース予定の月例セキュリティ更新プログラムについて、事前情報を発表した。今回のパッチは合計12件で、そのうち深刻度が最も高い「緊急」に分類された7件は、Windows、「Office」、「Internet Explorer（IE）」、Vistaにバンドルされている「Media Player」の脆弱性を修正するものだ。また残り5件は、2番目に深刻度の高い「重要」レベルに分類されている。

今回の事前情報の詳細は、MicrosoftのTechNetサイトに掲載されている

　7件の「緊急」アップデートのうち4件はOffice関連で、「Access」「Excel」「PowerPoint」の各アプリケーションを対象とした3件を含む。また、「重要」レベルのうち1件は、Office付属のワープロ・ソフト「Word」に発見された複数のバグを修正するという。

　また同社は、「緊急」レベルの最後の1件は、Windows、IEおよび、Vista付属の「Media Player 11」における欠陥を修正すると説明しているが、詳細は不明だ。

　Microsoftによると、「緊急」レベル7件の脆弱性は、それぞれがリモート攻撃を許す可能性があるという。つまり、ユーザーのPCが攻撃者により乗っ取られる可能性があり、脆弱性の中でも最も深刻な欠陥であることを意味している。

　少なくとも1件の脆弱性は、すでにハッカーによるエクスプロイトが確認されている。Microsoftは1カ月前のセキュリティ・アドバイザリで、データベース・アプリケーションのAccessに付属するActiveXコントロール「Snapshot Viewer」の欠陥を利用し、犯罪者がユーザーを悪意のあるWebサイトに導き、ユーザーのPCのセキュリティを侵害する攻撃が生じている、と警告していた（関連記事）。

　その1週間後、米国Symantecの調査員が、Snapshot Viewerのエクスプロイト・コードを用いた攻撃ツールセットが出回っていることを発見し、同手法による攻撃が増加するとのリポートを発表した。

　米国nCircle Network Securityのディレクター、アンドリュー・ストームズ（Andrew Storms）氏は、IEの「緊急」パッチは、同時にActiveXのセキュリティ・ホールも埋める必要があると推測している。同氏は、「ActiveXのバグは複数のプログラムにまたがる問題であることが多く、今回もその可能性がある」と指摘している。

　またMicrosoftは今回、2006年に初めて発見されたIEのバグをようやく修正できるかもしれない。問題のバグは今年5月、セキュリティ専門家のアビブ・ラフ（Aviv Raff）氏が、米国AppleのWebブラウザ「Safari」の欠陥との組み合わせで攻撃につながると発表したことで、再度注目を浴びた。Microsoftは5月末に同攻撃についての警告を出し、Windows版Safariの使用を中止するようユーザーに呼びかけた。その後、AppleはSafariのパッチを配布し、また米国Mozillaのブラウザ「Firefox」も、IEとの組み合わせ使用による攻撃の可能性を阻止するためのアップデートを行った。しかし、Micorsoftはこの欠陥をまだ修正していない。

　一方、「重要」レベルの5件のアップデートのうち3件は、それぞれ「Outlook Express」と「Windows Mail」、インスタント・メッセージング（IM）クライアントの「Messenger」、Wordの脆弱性を修正するものだ。残り2件はWindows関連だが、皮肉なことに、最新OSであるVistaおよびWindows Server 2008はその両方のパッチ適用が必要で、旧バージョンのOS（Windows 2000/XP、Windows Server 2003など）に影響するパッチは1件のみだ。

　なお、12件のセキュリティ更新プログラムは、米国東海岸時間で8月12日の午後1時ごろにリリースされる予定となっている。

(Gregg Keizer／Computerworld米国版)