“Windows Update”

　マイクロソフト（株）は14日、ローカルPC上での権限を昇格できるWindowsの脆弱性や、「Outlook Express」を異常終了させる脆弱性があるとし、毎月公開される修正プログラムの7月版としてセキュリティ修正プログラムを公開した。現在、同社Webサイト、または“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。

　ローカルPC上での権限を昇格できるWindowsの脆弱性は、問題箇所や影響を受けるOSの違いにより2種類存在する。まずひとつ目はWindows 2000のみが影響を受ける重要レベルの脆弱性で、Windowsの“ユーティリティマネージャ”機能がアプリケーションを起動する方法に問題があるというもの。攻撃対象PCのユーザーアカウントを所有する攻撃者が、パソコンを直接操作してローカルPC上での権限を昇格できるという。

　もうひとつはWindows NT 4.0/2000に存在する重要レベルの脆弱性で、POSIX（Portable Operating System Interface for UNIX）のサブシステムに未チェックのバッファがあるというもの。こちらも、攻撃対象PCのユーザーアカウントを所有する攻撃者が、パソコンを直接操作してローカルPC上での権限を昇格できるとのこと。

　また、「Outlook Express」v5.5 SP2/6.0/6.0 SP1/6.0 for Windows Server 2003をリモートで異常終了できてしまう警告レベルの脆弱性も報告されており、悪意あるプログラムが添付されたメールを表示するだけで、「Outlook Express」を異常終了させることができるという。

□2004 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/security/secinfo.mspx

（中井 浩晶）