MSが4月のセキュリティ更新プログラムを公開 - 最大深刻度「緊急」が5件
2008/04/09
マイクロソフトは9日、月例で提供しているセキュリティ更新プログラム(月例パッチ)の4月分を公開した。危険度を表す最大深刻度が最も高い「緊急」の脆弱性が5件公開されている。現時点では公開された脆弱性を使った攻撃は確認されておらず、該当するユーザーは至急パッチを適用する必要がある。
MS08-021
「GDI の脆弱性により、リモートでコードが実行される (948590)」は、Windowsでグラフィックを処理する「GDI」に2つの脆弱性が存在。メタ画像ファイルのWMF/EMFを処理する際にリモートでコードが実行され、コンピュータの制御が完全に奪われる可能性がある。Webサイトへのアクセス、HTMLメールのプレビューだけでも攻撃が行われる可能性がある。
Windows 2000 SP4/XP SP2/Server 2003/Vista/Server 2008が影響を受け、いずれも深刻度は「緊急」。
MS08-022
「VBScript および JScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (944338)」は、WindowsのスクリプトエンジンであるVBScriptとJScriptに脆弱性が存在。スクリプトに施された難読化をデコードする処理に問題があり、細工されたスクリプトファイルを開いた場合にリモートでコードが実行され、コンピュータの制御が完全に奪われる危険性がある。
基本的には両スクリプトエンジンを使うInternet Explorerが危険にさらされるが、同エンジンを使うブラウザであれば同様にWebサイトにアクセスしてスクリプトが実行されると攻撃が行われる。
影響を受けるのはWindows 2000 SP4/XP SP2/Server 2003。最大深刻度はいずれも「緊急」。
MS08-023
「ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)」は、Windowsの特定のActiveXコンポーネントに脆弱性が存在。Webページ経由でこのコンポーネントが呼び出され、リモートでコードが実行される危険性がある。このコンポーネントはMicrosoft Help 2.0と呼ばれる古いHelpファイルで、本来はブラウザから呼び出されることはないため、Kill Bitが配布された。
また、同様に米Yahoo!が提供する音楽ソフト「Yahoo! Music Jukebox」の旧バージョンのActiveXコンポーネント向けのKill Bitも配布される。同ソフトには今年2月に危険な脆弱性が発見されており、脆弱性が残る旧バージョンがブラウザから呼び出されないようにするための処置だ。
これまでActiveX用のKill BitはIEのパッチとともに配布されてきたが、今月からIEとは別に配布されるようになった。Yahoo! Music Jukebox向けのKill Bitのように、ベンダーとユーザーからの要望があれば、サードパーティ向けのKill Bitも今後配布するという。
MS08-024
「Internet Explorer 用の累積的なセキュリティ更新プログラム (947864)」は、IEがデータを受信する際のデータストリーム処理に問題があり、メモリが破損してリモートでコードが実行される。これにより、Webサイトにアクセスしただけで攻撃が行われる可能性がある。
影響を受けるのはIE 5.01 SP4/6/7。最大深刻度はいずれも「緊急」。
MS08-025
「Windows カーネルの脆弱性により、特権が昇格される (941693)」は、ローカルで特別な細工がされたプログラムが実行されると、権限が昇格する脆弱性が存在する。最悪の場合、コンピュータの制御が完全に奪われる危険性がある。影響を受けるのはWindows 2000 SP4/XP SP2/Server 2003/Vista/Server 2008。最大深刻度は「重要」。
MS08-018
「Microsoft Project の脆弱性により、リモートでコードが実行される (950183)」は、Microsoft ProjectがProjectファイルを開く際の処理に脆弱性が存在し、リモートでコードが実行される危険性がある。影響を受けるのはProject 2000/2002/2003。最大深刻度はProject 2000が「緊急」、それ以外は「重要」、全体では「緊急」となっている。
MS08-019
「Microsoft Visio の脆弱性により、リモートでコードが実行される (949032)」は、Microsoft Visioがファイルを開く処理に脆弱性が存在、リモートでコードが実行される危険性がある。影響を受けるのはVisio 2002/2003/2007で、最大深刻度はいずれも「重要」。
MS08-020
「DNS クライアントの脆弱性により、なりすましが行われる (945553)」は、DNSクライアントがクエリを実行する際に使われるランダムなシーケンシャルナンバーを予測手法が見つかり、悪意のあるDNSサーバから偽の応答を返すことが可能というなりすましの脆弱性。対象となるOSはWindows 2000/XP/Server 2003/Vistaで、Vista SP1/Server 2008は影響を受けない。
関連サイト
この記事を読んだ人は以下の記事も読んでいます
ヘッドライン
- IPA、OSS情報データベース「OSS iPedia」を刷新[18:55 3/19]プログラミング
- 東北大、鉄系高温超伝導体におけるディラック電子的振る舞いの観測に成功[18:05 3/19]エレクトロニクス
- 東芝、新潟県柏崎市で新型2次電池量産工場の建設を開始[17:58 3/19]エレクトロニクス
- Symbian、GCCでコンパイラ対応プロジェクト「Software Freedom Fighters」[17:49 3/19]プログラミング
- 伊藤忠商事、戸田工業と共同で北米にリチウムイオン電池正極材工場を建設[17:27 3/19]エレクトロニクス
- 昭和電工、樹脂複合材用カーボンナノチューブの量産を開始[17:04 3/19]エレクトロニクス
- 東北大、巨大超弾性歪みを有する高強度な鉄合金を開発[16:18 3/19]サイエンス
- STMicro、CryptoFirewallセキュリティ機能内蔵のSTB用SoCを開発[16:04 3/19]エレクトロニクス
- SEMI、2009年の半導体材料出荷額を発表 - 総額は前年比18.5%減の346億ドル[15:53 3/19]エレクトロニクス
- 住友大阪セメント、リチウムイオン電池向け高エネルギー密度の正極材を開発[15:37 3/19]エレクトロニクス
