マイクロソフトは9日、4月の月例セキュリティ更新プログラム(修正パッチ)8件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が3件。製品別では、Windows関連6件、Office関連2件の修正パッチが公開された。
最大深刻度が“緊急”の修正パッチは、「MS08-018」「MS08-021」「MS08-022」「MS08-023」「MS08-024」の5件で、いずれも脆弱性を悪用された場合に、任意のコードを実行させられる危険がある。
MS08-018は、Office製品のプロジェクト管理プログラム「Project」に存在する脆弱性を修正する。ユーザーがProjectファイルを開いた際に、任意のコードを実行させられる恐れがある。対象製品はProject 2003/2002/2000。
MS08-021は、Windowsの描画システム(GDI)に存在する2件の脆弱性を修正する。脆弱性が悪用された場合、WMFまたはWMF画像をWebブラウザなどでユーザーが開いた場合に、任意のコードが実行させられる恐れがある。対象製品はWindows Vista/XP/2000、Windows Server 2008/2003。
MS08-022は、WindowsのVBScriptおよびJScriptエンジンに存在する脆弱性を修正する。VBScriptおよびJScriptの難読化されたコードの展開時に問題があり、Webブラウザで悪意のあるページにアクセスした場合などに、任意のコードを実行させられる恐れがある。対象製品は、Windows XP/2000およびWindows Server 2003。
MS08-023は、Internet Explorer(IE)のActiveXコントロールについて、脆弱性が発見されたActiveXコントロールを動作させないように「Kill Bit」を設定する修正パッチ。このパッチを適用することで、Windowsの古いヘルプファイルと、「Yahoo! Music Jukebox」の旧バージョンのActiveXコントロールにKill Bitが設定される。Yahoo! Music Jukeboxについては、既に最新版が提供されているため、Yahoo!からの要請を受けて旧バージョンに対してKill Bitを設定したという。
MS08-024は、IEに関する1件の脆弱性を修正する。修正パッチ自体は、過去の修正も含む累積的な修正パッチとなっている。脆弱性は、IEがデータストリームを処理する方法に問題があり、悪意のあるWebページを閲覧した場合に、任意のコードを実行させられる恐れがある。対象製品はIE 7/6/5。
このほか、最大深刻度“重要”の修正パッチとして、Office製品「Visio」の脆弱性を修正する「MS08-019」、DNSクライアントの脆弱性を修正する「MS08-020」、Windowsカーネルの脆弱性を修正する「MS08-025」の3件が公開されている。
関連情報
■URL
マイクロソフト 2008年4月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-apr.mspx
( 三柳英樹 )
2008/04/09 13:39
- ページの先頭へ-
|