2004年07月14日(水) 11時39分
Windowsにまた「緊急」の欠陥--マイクロソフト、7月の月例パッチは7つ(CNET Japan)
Microsoftは米国時間13日、新たに7つのWindows用セキュリティパッチをリリースしたが、その中の2つは「緊急」の脆弱性に対処するものとなっている。
Microsoftはこれとは別に、「Download.Ject」セキュリティホールの影響を受けたシステムを浄化するツールも用意した。同社はこれまで、感染を防ぐための設定変更用パッチをリリースしていたが、パッチはまだ出されていなかった。
セキュリティベンダーのSymantecは、新しい脆弱性に「高リスク」の脅威が含まれるとしている。同社は声明の中で、「新たに発表されたこれらの脆弱性は、リモートから悪用され、DoS(サービス拒否)攻撃に使われてしまう可能性がある。また、これが機密データの紛失につながるおそれもある」と述べている。「われわれは、ユーザーに対し、これらの脆弱性を修正するセキュリティパッチを直ちに適用するよう強く勧告する」(同声明)
Microsoftと同社の顧客はセキュリティ関連の多数の問題に頭を悩ませてきたが、今回の欠陥でさらに頭痛のタネが増えたことになる。Microsoftはセキュリティを一段と重視することを確約していた。
13日に発表されたセキュリティパッチのうち、2つはMicrosoftの深刻度で最高にあたる「緊急」レベルに分類される問題を修正するものだ。
このうち、1つは「Task Scheduler」にある脆弱性で、外部ソースからデータを受け取るメモリ内部のプログラムである未チェックのバッファに起因する。未チェックバッファには、データの有効性を確認するコマンドが含まれていない。
Microsoftは、もしユーザーが管理者特権でログオンしていると、この脆弱性をうまく悪用した攻撃者が、影響を受けたシステムを完全に自分の支配下に置き、プログラムのインストール、データの削除、全特権を持つ新アカウントの作成などができるようになってしまう、と述べている。同社はさらに、このシステム上のシステム特権が少ないアカウントのユーザーは、管理者特権で操作ができるユーザーよりもリスクが低い、としている。
もう一方のパッチは、「HTML Help」と「showHelp」の脆弱性に関するもの。Microsoftはこれに関して、ユーザーが管理者特権でログオンしていると、影響を受けたシステムが攻撃者によって完全に制御されてしまうと説明している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
海外CNET Networksの記事へ
関連記事
IEでまた別の欠陥--アドウェアがインストールされる問題は未解決 - 2004/07/08 09:58
マイクロソフト、IEの脆弱性を回避する設定変更用パッチをリリース - 2004/07/05 08:00
米マイクロソフト、セキュリティサミット開催--社内での取り組みを披露 - 2004/06/23 11:55
■CNET Japanニューズレター(無料)
毎朝メールで最新テクノロジー・ビジネス情報をお届けします。お申し込みはこちら。
[CNET Japan]
http://japan.cnet.com/ (CNET Japan)
http://headlines.yahoo.co.jp/hl?a=20040714-00000002-cnet-sci