Internet Watch logo
記事検索
最新ニュース

Javaprxy.dllの脆弱性を含む3件の“緊急”パッチ、マイクロソフト公開


 マイクロソフトは13日、WordやWindows、Internet Explorer(IE)などに発見された脆弱性3件を公表するとともに、セキュリティ修正プログラム(パッチ)を公開した。いずれも、最大深刻度が4段階中で最も高い“緊急”となっている。Windows UpdateやOffice Updateなどを通じて入手できる。

 公表された3件は、1)Wordの脆弱性によりリモートでコードが実行される「MS05-035」、2)カラー管理モジュールの脆弱性によりリモートでコードが実行される「MS05-036」、3)JViewプロファイラの脆弱性によりリモートでコードが実行される「MS05-037」。

 MS05-035は、Word 2000/2002、Word Works Suite 2000/2001/2002/2003(英語版のみ)/2004(英語版のみ)に影響する。フォントを処理するためのプロセスに未チェックのバッファが存在することが原因で、悪質な文書を開くとリモートでコードが実行されるという。

 MS05-036は、64bit版を含むWindows Server 2003/XP/2000/Me/98SE/98が影響を受ける。ただし、Windows Me/98SE/98に関しては深刻度が“重要”であるため修正パッチは提供されない。脆弱性の原因はカラー管理モジュールに未チェックのバッファが存在すること。悪質なイメージファイルを用いたWebサイトやメールを通じてリモートでコードが実行される恐れがある。

 MS05-037は、64bit版を含むWindows Server 2003/XP/2000/Me/98SE/98で動作するIE 5.01〜6が影響を受ける。この脆弱性はマイクロソフトの「Security Advisory」において「903144」として公表されていた。マイクロソフトでは「903144」公表時に、問題となっていた「Javaprxy.dll COMオブジェクト」(Javaprxy.dll)を無効化するプログラムを配布しており、このプログラムを適用しているユーザーは、今回の修正パッチを適用する必要はないという。

 このほか、6月に公開された、Telnetクライアントの脆弱性により情報漏洩が起こる「MS05-033」に関してWindows Services for UNIX 2.0/2.1用の修正パッチを公開している。

【追記 17:13】
 なお、マイクロソフトによれば、MS05-037の修正パッチはSecurity Advisoryで公表されていたJavaprxy.dllを無効化するプログラムと同じものだという。「Javaprxy.dllはもともとIEから呼び出されて使用されることを想定していない。この脆弱性を修正するにあたり、影響などを検討したところ、結果として以前から公表していた無効化プログラムで対処することがベストだということになった」としている。


関連情報

URL
  MS05-035
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-035.mspx
  MS05-036
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-036.mspx
  MS05-037
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-037.mspx
  MS05-033
  http://www.microsoft.com/japan/technet/security/bulletin/ms05-033.mspx

関連記事
7月度の月例パッチ、“緊急”は3件〜Microsoftが事前告知(2005/07/08)
Microsoftが「Javaprxy.dll」無効化パッチ提供、IEの深刻な脆弱性を回避(2005/07/06)
IEのPNG画像処理に関する脆弱性など、マイクロソフトが月例パッチ10件(2005/06/15)


( 鷹木 創 )
2005/07/13 12:34

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.