“Windows Update”

　マイクロソフト（株）は13日、WindowsおよびIEに“緊急”レベルの脆弱性などがあるとし、毎月公開される修正プログラムの10月版としてセキュリティ修正プログラムを公開した。現在、同社Webサイト、または“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。

　今回公開された修正プログラムのなかでもっとも多くの脆弱性を修正する“MS04-038”は、Windows 98以降のIEを対象とする累積的修正プログラム。修正される脆弱性は、ドラッグ＆ドロップ処理の脆弱性によりユーザー権限が昇格する問題や、2バイト文字を利用できるWindows上でアドレスバーが偽装される問題など、セキュリティベンダーなどがすでに公表しているものが多い。

　またWindows 98以降が対象の“MS04-032”や“MS04-037”では、悪意のあるWMF/BMF形式の画像ファイルを表示したり、悪意のあるWebページにアクセスしただけで任意のコードが実行される問題を修正できる。さらにWindows XP/Server 2003が対象の“MS04-034”では、悪意のあるZIPファイルを開いた際に任意のコードが実行される問題を回避可能。

　そのほか、Windows Server 2003やExchage ServerといったOSが対象の“MS04-035”や“MS04-036”では、SMTPおよびNNTP用のコンポーネントに存在するバッファ・オーバーフローの脆弱性が修正される。また、特別なWebDAVリクエストによりサービスが停止するIISの問題をはじめとする“重要”レベルの脆弱性も3件報告された。

□2004 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/security/secinfo.mspx

（中井 浩晶）