【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
マイクロソフト、4種類の“重要”セキュリティ・パッチを7月9日に公開
Windows、SQL Server、Exchangeの問題を修正
(2008年07月04日)
米国Microsoftは7月3日、合計4件のセキュリティ更新プログラムを米国東部夏時間(EDT)の7月8日の午後1時ごろに公開する予定であることを明らかにした。それらは、Windows、「SQL Server」「Exchange Server」のセキュリティ上の脆弱性を修正するものという。
この4つの脆弱性はすべて、上から2番目の深刻度レベル「重要(Important)」に分類されている。ただし、Windowsに対するセキュリティ更新プログラムのうちの1つが修正するバグは、悪意のコードのリモート実行に攻撃者が利用するおそれがあるものであり、従来、Microsoftが一般的には「緊急(Critical)」に分類してきた類の脆弱性だ。
いつものMicrosoftのセキュリティ情報の事前通知と同様、今回の事前通知も、来週公開するセキュリティ更新プログラムについて、問題の深刻度と、影響を受けるソフトウェアのリストを示しているが、詳細は明かしていない。
米国nCircle Network Securityのセキュリティ・オペレーションズ担当ディレクター、Andrew Storms(アンドリュー・ストームズ)氏は、「実は、このいずれも私のレーダーには引っかかっていなかった。(これらのセキュリティ情報の)多様で興味深い内容に、今、かなり当惑しているところだ」と告白した。
Windowsに関する2件のセキュリティ情報のうち、一方は、Windows 2000とWindows XPの脆弱性にパッチを当てるもので、最近リリースされたXPのService Pack 3(SP3)も対象に含まれるが、Windows Vistaには関係していない。もう一方は、Windows Vistaの脆弱性にパッチを当てるもので、Vista SP1も対象に含まれるが、旧バージョンには関係していない。
このVistaのバグのほうが、Storms氏の目を引きつけたようだ。Microsoftが今回、その影響はリモートでコードが実行されることだと記述しているのに、深刻度は「緊急」ではなく「重要(Important)」に分類していたからだ。リモートでコードが実行されるという記述がされるのは、クラッカーがPCをハイジャックできるような深刻な脆弱性のときだけである。
「私ならば、その種のバグは“緊急”ととらえる。ユーザーに何らかの操作をさせなくても悪用できてしまう脆弱性だけをMicrosoftが“緊急”に分類しているのは、やや基準が厳しすぎるようだ」とStorms氏は指摘している。
一方、Microsoftは、SQL Serverの脆弱性とExchangeの脆弱性については、いずれも特権の昇格が起こる可能があると述べている。そして、SQL Serverの脆弱性を修正する更新プログラムは、Windows Server 2003/2008、Windows 2000、そして現在サポート中である全バージョンのSQL Serverを対象に提供されるとしている。また、Exchangeの脆弱性を修正する更新プログラムは、Exchange Server 2003/2007の両バージョンが対象になるとしている。
Storms氏は、Microsoftが事前通知に含めた、SQL ServerとExchange Serverの脆弱性に関する詳細情報の量にも当惑したとしている。同氏は、そのSQL Serverの脆弱性が「WMSDE」(Windowsクライアント・ソフトウェアに追加されたSQLエンジン)と「WYukon」(Windowsサーバ・ソフトウェア内のSQLエンジン)の両方に影響することをMicrosoftが示していることを挙げ、「これが(脆弱性についての)手がかりなのかどうか、それとも、単に同社が情報の扱いに無頓着になってきているのか、判断しかねる」とコメントした。
なお、今回、Microsoftは、2006年に初めて報告され、最近再び注目を集めることになった「Internet Explorer(IE)」の脆弱性パッチは予定していないようだ。今年5月、セキュリティ研究者のAviv Raf(アビブ・ラフ)氏がこの脆弱性とAppleの「Safari」のバグが組み合わさることでユーザーが危険にさらされると指摘した。同月末にMicrosoftはこの複合的な脅威についてユーザーに警告し、Windows上でのSafari使用を止めることを推奨していた。その後、AppleはWindows版Safariに、同ブラウザのいわゆる「カーペット爆弾」「じゅうたん爆撃」バグを解消するためのパッチを当てた(関連記事)。
Storms氏は、Microsofが特にそうと明示せずにIEを修正する可能性が少しはあると見ている。投資によると、Microsoftは2007年、IEに対する攻撃に利用されおそれのあったプロトコル・ハンドラのバグに、IEではなくWindowsの修正によって対処したことがあるという。
(Gregg Keizer/Computerworld米国版)
[米国]マイクロソフト、IE 8のセキュリティ新機能を一部披露
来月リリース予定のベータ2に搭載
[世界]【ETH Zurich調査】Webブラウザの約4割が未パッチ状態――チューリッヒ工科大学が報告
「問題の大半はベンダー側の対策不足にあり」と研究員が指摘
【解説】マイクロソフトのセキュリティ戦略――ゲイツ氏の“功罪”とは
問題の元凶から改革の旗振り役に転向したトップのメッセージ
[世界]マイクロソフト、6月のセキュリティ更新プログラムで200万件のパスワード窃盗プログラムを駆逐
「とんでもない数の感染実態に、度肝を抜かれた」と担当者
[世界]マイクロソフト、月例セキュリティ・パッチの一部を再リリース
Windows XPでBluetoothの脆弱性が解決されない問題に対応
[米国]マイクロソフト、IE 8のベータ2版を8月リリースへ
新機能をすべて搭載。Vistaとの統合を強化
[世界]マイクロソフト、「緊急」3件を含む7件の月例セキュリティ修正パッチを来週公開へ
サードパーティ・プログラムを無効にする更新プログラムも公開か
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
