マイクロソフトは10月11日,WindowsとMicrosoft Office,.NET Frameworkに関するセキュリティ情報と修正パッチ(セキュリティ更新プログラム)を10件公表した。セキュリティ・ホールの最大深刻度は最悪の「緊急」。既に悪用されているセキュリティ・ホールが含まれるので早急にパッチを適用したい。

10件中6件が「緊急」

 10月6日に予告されたセキュリティ情報は11件だったが,1件の公開が見送られため,本日公開されたセキュリティ情報は10件(関連記事:10月のセキュリティ情報は11件)。内訳は,Windowsに関する情報が5件,Officeに関する情報が4件,.NET Frameworkに関する情報が1件。そのうち,最大深刻度が「緊急」に設定されているのは,以下の6件である。

(1)Windows Explorerの脆弱性により,リモートでコードが実行される (923191) (MS06-057)
(2)Microsoft PowerPoint の脆弱性により,リモートでコードが実行される (924163) (MS06-058)
(3)Microsoft Excelの脆弱性により,リモートでコードが実行される (924164) (MS06-059)
(4)Microsoft Wordの脆弱性により,リモートでコードが実行される (924554) (MS06-060)
(5)Microsoft XML コア サービスの脆弱性により,リモートでコードが実行される (924191) (MS06-061)
(6)Microsoft Office の脆弱性により,リモートでコードが実行される (922581) (MS06-062)

 (1)は,Windowsに含まれるActiveXコントロール「WebViewFolderIcon(webvw.dll)」に関するセキュリティ・ホールである。Windows 2000/XP/Server 2003が影響を受ける。細工が施されたWebページ/HTMLメールを開くだけで,悪質なプログラムを実行される危険なもの。Windows 2000およびXPでは,深刻度は「緊急」に設定されている。Windows Server 2003については,デフォルトでは「セキュリティ強化の構成」により影響が緩和されるので,深刻度は上から3番目(下から2番目)の「警告」に設定されている。

 このセキュリティ・ホール自体は,7月に第三者によって公表されている。ただしその時点では,Internet Explorer(IE)などを不正終了させるコード(プログラム)しか公開されていなかったため,悪用される危険性が低いと考えられていた。

 しかし9月になると,このセキュリティ・ホールを突いて任意のプログラムを実行させるコードが公表されたため危険性が高まった(関連記事:パッチ未公開セキュリティ・ホールを突くプログラム出現)。現在では,このセキュリティ・ホールを悪用するサイトも確認されている(関連記事:Windowsの新しい脆弱性を狙う攻撃サイト続出)。

 そのためマイクロソフトでは,9月29日に回避策などをまとめたセキュリティアドバイザリを公開(関連記事:パッチ未公開セキュリティ・ホールの回避策を公開)。同社はこのアドバイザリにおいて,同セキュリティ・ホールをふさぐ修正パッチを10月11日に公開するとしていた。そして今回,予定通りに公開した。

 (2)の「Microsoft PowerPoint の脆弱性により,リモートでコードが実行される (924163) (MS06-058)」には,PowerPointに関するセキュリティ・ホールが4件含まれる。PowerPoint 2000(Office 2000),PowerPoint 2002(Office XP),PowerPoint 2003(Office 2003),PowerPoint 2004 for Mac,PowerPoint v. X for Mac---が影響を受ける。PowerPoint 2003 Viewerは影響を受けない。

 これらのセキュリティ・ホールは,読み込むデータをPowerPointがきちんと検証しないことなどが原因。このため細工が施された文書ファイル(pptファイル)を読み込むだけで,ファイルに仕込まれた任意のプログラムを実行される恐れがある。

 (2)に含まれる「PowerPoint の不正な形式のレコードの脆弱性- CVE-2006-4694」については,このセキュリティ・ホールを突いて悪質なプログラムを実行させるファイル(ゼロデイ攻撃)が確認されている(関連記事:またもやPowerPointにセキュリティ・ホール)。

 このためマイクロソフトでは9月28日,このセキュリティ・ホールに関する概要と回避策を公表。セキュリティ・ベンダーなどの情報によれば,このセキュリティ・ホールを突いたゼロデイ攻撃は,特定の企業/組織を狙った「スピア攻撃」だった可能性があるという(関連記事:PowerPointを狙ったゼロデイ攻撃は「スピア攻撃」)。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら