窓の杜Logo
NEWS (05/10/12 17:55)

MS、“緊急”レベル3件を含む9件の脆弱性を修正する月例パッチを公開

Windows本体のほかIE、DirectX、IIS、Exchange 2000 Serverが影響を受ける

“Microsoft Update”のWebサイト
“Microsoft Update”のWebサイト
 マイクロソフト(株)は12日、毎月公開される修正プログラムの10月版として、セキュリティ修正プログラムと対応する脆弱性情報を公開した。修正プログラムは現在、同社ソフトの更新サービス“Windows Update”や“Microsoft Update”のWebサイトからダウンロードできるほか、Windowsの自動更新機能をONにしておくことで自動的にダウンロードと適用が可能。

 “緊急”レベルでDirectX 7/8/9の“DirectShow”コンポーネントが対象となる“MS05-050”は、特別な細工が施されたAVIファイルをWindows Media PlayerなどDirectShowを利用するプレイヤーで開くと任意のコードが実行される脆弱性。また同じく“緊急”レベルでIE5/6が対象の“MS05-052”は、特別な細工が施されたWebページを開くと任意のコードが実行される脆弱性。いずれもWindows 2000/XP/Server 2003用の修正プログラムが公開されている。Windows 98/Meもこれらの脆弱性の影響を受けるが、現在修正プログラムは公開されていない。

 また、“緊急”レベルの“MS05-051”は、Windows 2000/XP/Server 2003にインストールされているDTC(Distributed Transaction Coordinator)サービスおよび“COM+”コンポーネントがもつ脆弱性で、DTCサービスに不正なデータが送られると、任意のコードが実行されたり、特別な権限をもつユーザーアカウントが作成される。DTCサービスはデーベースの分散処理などに使われるサービス。

 “重要”レベルの脆弱性は4件。“MS05-049”はWindows 2000/XP/Server 2003のシェルがもつ脆弱性で、特別な細工が施されたショートカット(.lnk)を開いたり、エクスプローラ上で特別な細工が施されたHTMLファイルをプレビューした際に任意のコードが実行されるというもの。“MS05-047”はWindows 2000/XPの“プラグ&プレイ”機能がもつ脆弱性で、リモートから特殊なデータを送信して任意のプログラムを実行される恐れがあるほか、ローカル上で特別な権限をもつユーザーアカウントを作成される恐れがある。

 また、“MS05-048”はWindows 2000/XP/Server 2003上のIIS 5.0/6.0やExchange 2000 Serverでメール送信を行うコンポーネント“Collaboration Data Objects”がもつ脆弱性で、“MS05-046”はNetWare用のクライアントサービスがもつ脆弱性。どちらも、ユーザーが明示的にインストールしたり機能をONにした場合にのみ影響を受ける。

 そのほか“警告”レベルの脆弱性は2件。“MS05-044”はWindowsのFTP機能において、特殊なファイル名のファイルをダウンロードすると、ダウンロードしたファイルが、ユーザーが指定したフォルダとは別のフォルダに置かれるという脆弱性。SP2を適用していないWindows XP、SP1を適用していないWindows Server 2003、IE6をインストールしたWindows 2000が影響を受ける。また、“MS05-045”はWindows 2000/XP/Server 2003のネットワークを管理するコンポーネント“ネットワーク接続マネージャ”(netman.dll)がもつ脆弱性で、特別な細工が施されたデータを受信するとパソコンの動作が停止するというもの。


□Microsoft Security ホーム
http://www.microsoft.com/japan/security/default.mspx

(中村 友次郎)




トップページへ

Copyright ©2005 Impress Watch Corporation, an Impress Group company. All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで