 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトの月例パッチ、複数あったIEの深刻な脆弱性に対応 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
マイクロソフトは12日、4月の月例セキュリティ修正プログラム(パッチ)として「MS06-013」「MS06-014」「MS06-015」「MS06-016」「MS06-017」の2件を公開した。このうち、MS06-013、MS06-014、MS06-015の最大深刻度は4段階中で最も深刻な“緊急”。また、2月に公開した「MS06-005」も更新している。 ● 深刻度“緊急”の「MS06-013」「MS06-014」「MS06-015」 MS06-013は、Internet Explorer(IE)の累積的パッチ。すでに情報が公開されていた「DHTMLメソッドコールのメモリの破損の脆弱性(createTextRange()メソッドの脆弱性)」をはじめ、「HTAの実行の脆弱性」「アドレスバーの偽装の脆弱性」など危険度の高い合計10件の脆弱性を修正する。対象は、64bit版を含むWindows Server 2003およびWindows Server 2003 SP1用のIE 6、Windows XP SP2用のIE 6、Windows XP SP1上のIE 6 SP1、Windows 2000 SP4上のIE 6 SP1/IE 5.01 SP4など。 なお、MS06-013には、ActiveXコントロールを使用するWebページに対する処理方法を変更するパッチも含まれているので注意が必要だ。適用後にはこれまで利用できていたWebアプリケーションが、そのままでは利用できなくなる可能性もあり、何らかの対処が必要なケースもあるだろう。 MS06-014は、Microsoft Data Access Components(MDAC)の脆弱性を修正するパッチ。MDACで配布された「RDS.Dataspace」のActiveXコントロールに外部からコードが実行される脆弱性が存在し、悪用されると、PCが完全に制御される恐れがあるという。対象は、64bit版を含むWindows Server 2003およびWindows Server SP1、Windows XP SP1/SP2など。 MS06-015は、Windowsエクスプローラに存在する脆弱性を修正する。この脆弱性は、WindowsエクスプローラがCOMオブジェクトを処理する方法に原因があり、悪用されると、PCが完全に制御される恐れがあるという。対象は、64bit版を含むWindows Server 2003およびWindows Server 2003 SP1、Windows XP SP1/SP2、Windows 2000 SP4など。 これら3件の脆弱性は、Windows Me/98SE/98も影響を受けるため、マイクロソフトでは可能な限り早期にWindows Me/98SE/98用のパッチをWindows Updateで提供するとしている。 【追記 15:28】 なお、MS06-013とMS06-014のWindows Me/98SE/98用パッチは、12日時点でWindows Updateから適用できる。ただし、MS06-015に関しては公開されておらず、マイクロソフトでは「公開時期は現在のところ未定」だとしている。 ● 「MS06-016」は“重要”、「MS06-017」は“警告” MS06-016は、Outlook Express(OE)用の累積的な脆弱性を修正するパッチで、最大深刻度は上から2番目の“重要”。Windowsアドレス帳(.wab)ファイルを使用した場合に外部からコードが実行される脆弱性が存在し、悪用された場合、影響を受けるPCが完全に制御される恐れがある。対象は、64bit版を含むWindows Server 2003およびWindows Server 2003 SP1用のOE 6、Windows XP SP 2用のOE 6、Windows XP SP1またはWindows 2000 SP4にインストールされたOE 6 SP1、Windows 2000 SP4用のOE 5.5 SP2。Windows Me/98SE/98のOEも影響を受けるが、深刻度が“緊急”ではないため、パッチ提供の予定はない。 MS06-017は、Microsoft FrontPage Server Extensions(FPSE)の脆弱性を修正する。最大深刻度は上から3番目の“警告”。この脆弱性を悪用するとクロスサイトスクリプティングを発生させることが可能で、悪用されるとWebサイトでコンテンツのなりすましや情報の漏洩などの恐れがあるという。 対象は、64bit版を含むWindows Server 2003およびWindows Server 2003SP1 上のFPSE 2002、Windows XP SP1/SP2もしくはWindows 2000 Server SP4にダウンロード/インストールされたFPSE 2002など。SharePoint Team Services 2002も対象だ。 ● 2月に公開された「MS06-005」に不具合があり、修正 このほか、2月に公開されたMS06-005も更新した。MS06-005を適用すると、Windows XP SP1/SP2にインストールされているWindows Media Player 10で、巻き戻しや早送り、シークなどの最中に、スライダのつまみがメディアファイルの先頭に戻されたり、再生中と表示されているにも関わらず、再生が中断されるといった問題が発生していた。今回更新されたパッチではこれらの問題を修正したという。関連情報 ■URL 2006年4月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms06-apr.mspx MS06-013 http://www.microsoft.com/japan/technet/security/bulletin/ms06-013.mspx MS06-014 http://www.microsoft.com/japan/technet/security/bulletin/ms06-014.mspx MS06-015 http://www.microsoft.com/japan/technet/security/bulletin/ms06-015.mspx MS06-016 http://www.microsoft.com/japan/technet/security/bulletin/ms06-016.mspx MS06-017 http://www.microsoft.com/japan/technet/security/bulletin/ms06-017.mspx MS06-005 http://www.microsoft.com/japan/technet/security/bulletin/ms06-005.mspx ■関連記事 ・ 4月の月例パッチはcreateTextRange()メソッドの脆弱性の修正含む5件(2006/04/07) ・ 4月の月例パッチ前に、Webコンテンツを修正する(2006/04/07) ・ IEでアドレスバーを偽装される脆弱性、Secuniaなどが警告(2006/04/07) ・ IEに未パッチの脆弱性がまた見つかる、許可なしでHTAアプリ実行の恐れ(2006/03/27) ・ IEの「createTextRange()」メソッドの脆弱性、4月の月例パッチで修正(2006/03/27) ・ マイクロソフトが月例パッチ7件を公開、IEやWMPには“緊急”のパッチ(2006/02/15)
( 鷹木 創 )
- ページの先頭へ-
|
