.
IE搭載“Java VM”の脆弱性対策を含む3種類のセキュリティ修正プログラム
Windows 95/98/Me/NT 4.0/2000/XPのシステムを制御される危険性を回避
(02/12/12)
【21:50更新】
マイクロソフト(株)は12日、IEに搭載されているJAVA仮想マシン「Microsoft VM」v5.0.3805以前のバージョンすべてに、深刻度が最高レベルに定義されているセキュリティ上の脆弱性(MS02-069)があることを明らかにし、この脆弱性など複数のセキュリティ問題を修正する「Microsoft VM」用の修正プログラムを公開した。また、同日に“SMB署名”の問題”(MS02-070)と、“Windows WM_TIMERメッセージ処理”の問題(MS02-071)の2種類の脆弱性に対策を施すためのセキュリティ修正プログラムもそれぞれ公開された。現在“Windows Update”機能を使って無償でダウンロードできる。なお、これら3種類のセキュリティ修正プログラムを適用することで、合計10つのセキュリティ問題が修正される。
同社はセキュリティ問題の深刻度を上から“緊急”、“重要”、“警告”、“注意”の4段階でレベル分けしており、今回公開された「Microsoft VM」用の修正プログラムでは、深刻度が最高の“緊急”レベルの問題が1つ、上から2番目の“重要”レベルの問題が2つ、3番目の“警告”レベルの問題が2つ、4番目の“注意”レベルの問題が3つ、合計で8つのセキュリティ問題が新たに修正される。もっとも深刻度が高い問題である“COMオブジェクトアクセスの脆弱性”を悪用されると、本来ユーザーの信頼したJavaアプレットでのみ制御可能なCOMオブジェクトへのアクセスが、ユーザーの信頼していないJavaアプレットでも可能となってしまうという。その結果としてシステムを制御されてしまう恐れがあるとのこと。問題の対象となるのは「Microsoft VM」v5.0.3805、またはそれ以前のバージョンがインストールされているWindows 95/98/Me/NT 4.0/2000/XPの各Windowsで、影響範囲が非常に広いので危険性が高い。そのため、できるだけ速やかに同修正プログラムを適用し、この問題を解決した新バージョンv5.0.3809をインストールしたほうがよい。ちなみに、バージョンを確認する方法が同社サイトで示されているので、同修正プログラムの適用後には、念のためv5.0.3809が正しくインストールされていることを確認しておこう。
なお、Windows 2000/XPのマシンが対象となる“SMB署名”の問題や、Windows NT 4.0/2000/XPが対象となる“Windows WM_TIMERメッセージ処理”の問題についても、それぞれ修正プログラムが公開されているので、これらすべてを適用して可能な限りWindowsのセキュリティを向上させておくことをおすすめする。
□Microsoft VM の問題により、システムが侵害される (810030) (MS02-069)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-069.asp?frame=true
□SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-070.asp?frame=true
□Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) (MS02-071)
http://www.microsoft.com/japan/technet/security/bulletin/MS02-071.asp?frame=true
(竹元 克己)