マイクロソフトが公開するセキュリティ情報(MS06-001)
マイクロソフトが公開するセキュリティ情報(MS06-001)
[画像のクリックで拡大表示]

 マイクロソフトは1月6日,12月末に明らかにされたWindowsの危険なセキュリティ・ホールをふさぐ修正パッチ(更新プログラム)を公開した。このセキュリティ・ホールを悪用する手法は多数出回っており,実害も出ている。すべてのWindowsユーザーが「Microsoft Update」を実施するなどして,すぐにパッチを適用したい。ただし,Windows 98/98SE/Meについては深刻度が「緊急ではない」としてパッチは公開されない。

 今回リリースされた修正パッチは,セキュリティ情報の月例公開日(米国時間第2火曜日)にあたる米国時間1月10日に公開される予定だった(関連記事)。しかしながら,パッチの検証作業が予定よりも早く終了したために,本日付けで公開したという

 今回のパッチで修正されるWindowsメタファイル(WMF)関連のセキュリティ・ホールは,12月末に第三者によって公表されて以来,攻撃者の“格好”の標的になっている(関連記事)。このため同社は,通常よりも対応を急いだものと考えられる(このセキュリティ・ホールに関する過去記事は,記事末の関連記事を参照のこと)。

 パッチの適用対象はWindows 2000 SP4,XP SP1/SP2,XP Professional x64 Edition,Server 2003/Server 2003 SP1,Server 2003 x64 Edition。いずれについても,セキュリティ・ホールの深刻度は最悪の「緊急」。Windows 98/98SE/Meも今回のセキュリティ・ホールの影響を受けるものの,同社によれば,これらについては「緊急と評価されるような攻撃可能な経路が確認されていないため」,深刻度は「緊急ではない」とされている。Windows 98/98SE/Meについては深刻度が「緊急」の場合のみパッチが提供されるので,今回のセキュリティ・ホールに関するパッチはリリースされない。

 修正パッチはセキュリティ情報のページからダウンロードできるほか,Microsoft Updateあるいは「Windows Update」から適用できる。パッチ適用後には,再起動を必要とする場合がある。

 今回のセキュリティ・ホールを突くプログラムは広く出回っており,今後出現する悪質なプログラム(ウイルスやスパイウエア,ボットなど)の多くは,このセキュリティ・ホールを突く“機能”を備えることが十分に予想される。Windows 2000/XP/Server 2003のユーザーはできるだけ早急に修正パッチを適用したい。

◎参考資料
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
Microsoft Security Bulletin Advance Notification Important Information for Thursday 5 January 2006