|
MS、“緊急”レベル3件を含む9件の脆弱性を修正する月例パッチを公開Windows本体のほかIE、DirectX、IIS、Exchange 2000 Serverが影響を受ける
“緊急”レベルでDirectX 7/8/9の“DirectShow”コンポーネントが対象となる“MS05-050”は、特別な細工が施されたAVIファイルをWindows Media PlayerなどDirectShowを利用するプレイヤーで開くと任意のコードが実行される脆弱性。また同じく“緊急”レベルでIE5/6が対象の“MS05-052”は、特別な細工が施されたWebページを開くと任意のコードが実行される脆弱性。いずれもWindows 2000/XP/Server 2003用の修正プログラムが公開されている。Windows 98/Meもこれらの脆弱性の影響を受けるが、現在修正プログラムは公開されていない。 また、“緊急”レベルの“MS05-051”は、Windows 2000/XP/Server 2003にインストールされているDTC(Distributed Transaction Coordinator)サービスおよび“COM+”コンポーネントがもつ脆弱性で、DTCサービスに不正なデータが送られると、任意のコードが実行されたり、特別な権限をもつユーザーアカウントが作成される。DTCサービスはデーベースの分散処理などに使われるサービス。 “重要”レベルの脆弱性は4件。“MS05-049”はWindows 2000/XP/Server 2003のシェルがもつ脆弱性で、特別な細工が施されたショートカット(.lnk)を開いたり、エクスプローラ上で特別な細工が施されたHTMLファイルをプレビューした際に任意のコードが実行されるというもの。“MS05-047”はWindows 2000/XPの“プラグ&プレイ”機能がもつ脆弱性で、リモートから特殊なデータを送信して任意のプログラムを実行される恐れがあるほか、ローカル上で特別な権限をもつユーザーアカウントを作成される恐れがある。 また、“MS05-048”はWindows 2000/XP/Server 2003上のIIS 5.0/6.0やExchange 2000 Serverでメール送信を行うコンポーネント“Collaboration Data Objects”がもつ脆弱性で、“MS05-046”はNetWare用のクライアントサービスがもつ脆弱性。どちらも、ユーザーが明示的にインストールしたり機能をONにした場合にのみ影響を受ける。 そのほか“警告”レベルの脆弱性は2件。“MS05-044”はWindowsのFTP機能において、特殊なファイル名のファイルをダウンロードすると、ダウンロードしたファイルが、ユーザーが指定したフォルダとは別のフォルダに置かれるという脆弱性。SP2を適用していないWindows XP、SP1を適用していないWindows Server 2003、IE6をインストールしたWindows 2000が影響を受ける。また、“MS05-045”はWindows 2000/XP/Server 2003のネットワークを管理するコンポーネント“ネットワーク接続マネージャ”(netman.dll)がもつ脆弱性で、特別な細工が施されたデータを受信するとパソコンの動作が停止するというもの。
□Microsoft Security ホーム (中村 友次郎)
|
|
|
|||||||||
トップページへ |