マイクロソフトは15日、7件のセキュリティ修正プログラム(パッチ)を公開した。最大深刻度が“緊急”を含むパッチが2件、“重要”が5件。Windows UpdateやMicrosoft Updateまたは同社ダウンロードセンターから入手できる。
■ 深刻度“緊急”は2件、MS06-005のパッチはWindows Me/98にも提供
MS06-004は、Internet Explorerの累積的なパッチ。Windowsメタファイル(WMF)画像を処理する方法に含まれる脆弱性を修正するパッチも含む。対象は、Windows 2000 SP4上のInternet Explorer 5.01 SP4。Windows XPやWindows Server 2003はこの問題の影響を受けない。
MS06-005は、Windows Media Playerのビットマップファイル(.bmp)を処理する方法に存在する脆弱性に対応したパッチ。リモートでコードが実行される脆弱性が存在するため、悪意のあるビットマップファイルをMedia Playerを使用して表示した場合、影響を受けるコンピュータが完全にコントロールされる恐れがある。対象は、Windows XP SP1上のWindows Media Player for Windows XP、Windows Server 2003とWindows XP SP2上のWindows Media Player 9。
コンポーネントとしてはWindows 2000 SP4にインストールされたWindows Media Player 7.1、Windows 2000 SP4またはWindows XP SP1にインストールされた Windows Media Player 9、Windows XP SP1/SP2にインストールされた Windows Media Player 10が影響を受ける。また、Windows Me/98SE/98上で動作するWindows Media Player 9用のパッチも提供している。
■ 深刻度“重要”は5件、Windows Media Playerプラグインなどに脆弱性
MS06-006は、マイクロソフトのWebブラウザ以外を対象にしたWindows Media Playerプラグインに存在する脆弱性に対応したパッチ。Windows Media Playerのプラグインが不正なEMBEDエレメントを処理する方法にリモートでコードが実行される脆弱性が存在し、攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータが完全に制御される可能性がある。対象は、Windows Server 2003以降、Windows XP SP1以降、Windows 2000 SP4。64bit版Windowsも含まれる。
MS06-007は、IGMP(Internet Group Management Protocol)に存在するサービス拒否の脆弱性に対応したパッチ。攻撃者はIGMPパケットを送信することで、影響を受けるコンピュータの応答を停止させる可能性がある。対象は、Windows Server 2003以降、Windows XP SP1以降、Windows 2000 SP4。64bit版Windowsも含まれる。
MS06-008は、WindowsがWebClientサービスからの要求を処理する方法に存在する脆弱性に対応したパッチ。WebClientサービスに未チェックのバッファが含まれることが原因。攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータが完全に制御される可能性がある。対象は、Windows Server 2003以降、Windows XP SP1以降。64bit版Windowsも含まれる。
MS06-009は、韓国語版IMEに存在する脆弱性に対応したパッチ。特権の昇格の脆弱性がWindowsおよびOfficeの韓国語版IMEに存在する。攻撃者によりこの脆弱性が悪用され、影響を受けるコンピュータが完全に制御される可能性がある。対象は、Windows Server 2003以降、Windows XP SP1以降。64bit版Windowsも含まれる。また、Office 2003(韓国語版)、Office 2003 Multilingual User Interface Packs、Office Visio 2003 Multilingual User Interface Packs、Office Project 2003 Multilingual User Interface Packs、Office 2003 Proofing Tools、Office Visio 2003(韓国語版)、Office OneNote 2003(韓国語版)、Office Project 2003(韓国語版)も対象だ。なお、日本語版を使用している場合は、韓国語版IMEが有効にされているときのみ、この脆弱性の影響を受けるという。
MS06-010は、PowerPointに存在する脆弱性に対応した修正プログラム。PowerPointがHTMLのデータをレンダリングする際にPowerPointとInternet Explorerの操作によって発生する脆弱性で、攻撃者はリモートからTemporary Internet Filesフォルダ(TIFF)のオブジェクトにアクセスし、この脆弱性を悪用する可能性がある。対象は、Office 2000 SP3/PowerPoint 2000。
[お詫びと訂正]
記事初出時、MS06-008の対象にWindows 2000 SP4を記載しておりましたが、MS06-008はWindows 2000 SP4には影響を及ぼしません。お詫びして訂正いたします。
■ MS06-007の自動更新の不具合は解消へ
なお、MS06-007については現在のところ自動更新ができない状況だ。この問題はマイクロソフトでも認識しており、「調査・対応を進めている」という。適用するには同社ダウンロードセンターなどから個別にダウンロードする必要がある。
[追記 13:19]
マイクロソフトによれば、MS06-007の自動更新の不具合はWindows UpdateおよびMicrosoft Update側の設定ミスだったという。すでに設定を変更しており、「すべてのサーバーで同期が取れ次第、自動更新できるようになる」としている。
■ URL
MS06-004
http://www.microsoft.com/japan/technet/security/bulletin/ms06-004.mspx
MS06-005
http://www.microsoft.com/japan/technet/security/bulletin/ms06-005.mspx
MS06-006
http://www.microsoft.com/japan/technet/security/bulletin/ms06-006.mspx
MS06-007
http://www.microsoft.com/japan/technet/security/bulletin/ms06-007.mspx
MS06-008
http://www.microsoft.com/japan/technet/security/bulletin/ms06-008.mspx
MS06-009
http://www.microsoft.com/japan/technet/security/bulletin/ms06-009.mspx
MS06-010
http://www.microsoft.com/japan/technet/security/bulletin/ms06-010.mspx
■ 関連記事
・ マイクロソフト、「WMFの脆弱性」に対する修正パッチを緊急リリース
(鷹木 創)
2006/02/15 13:35
|