マイクロソフトは6月9日,6月14日公開予定のセキュリティ情報と修正パッチ(セキュリティ更新プログラム)の概要を発表した。それによると,Windowsに関する情報を9件,Microsoft Exchangeについては1件,Microsoft Officeについては2件公開する予定であるという。この中には,Microsoft WordやInternet Explorer(IE)のセキュリティ情報および修正パッチが含まれると考えられる。最大深刻度は最悪の「緊急」なので,パッチが公開され次第,速やかに適用したい。
Wordには,文書ファイル(DOCファイル)を開くだけで任意のプログラムを実行されるセキュリティ・ホールが見つかっている(関連記事:Microsoft Wordにパッチ未公開の脆弱性)。詳細については明らかにされていないものの,そのセキュリティ・ホールを突いた攻撃が確認されているという。
マイクロソフトはそのセキュリティ・ホールに関するアドバイザリを公開。回避策を公表するとともに,6月14日には修正パッチを提供することを明らかにした(関連記事:「Wordの脆弱性,『セーフ モード』での利用が回避策の一つ」)。また,6月初めに来日していた米Microsoftのセキュリティ責任者も,同日公開することを明言している(関連記事:「Wordのゼロデイ攻撃を受けたのは5社未満,多重防御で備えを」)。
IEに関する修正パッチが提供されることは,同社の事前通知ならびに4月に公開されたセキュリティ情報「MS06-013」の中で触れられている。
今度公開されるIE用パッチを適用すると,「互換性修正プログラム(Compatibility Update)」をインストールしていても,「MS06-013」のパッチで加えられた「ActiveXコントロールを使用するページの処理方法の変更」が強制的に適用されるので注意が必要(関連記事:IEの修正パッチがようやく公開,ActiveXの処理が変更されるので注意)。
修正パッチは,Microsoft UpdateやWindows Update,Windows Server Update Services (WSUS),Software Update Services(SUS),ダウンロードセンターなどから入手できる。自動更新機能を有効にしていれば自動的に適用あるいはダウンロードされる。パッチ適用の有無は,Microsoft Baseline Security Analyzer (MBSA)やEnterprise Scanning Tool(EST)で検出できる。なお,パッチの中には,適用後にマシンの再起動を必要とするものがある。
同日,ウイルスなどを駆除する「悪意のあるソフトウエアの削除ツール」の新版も公開する予定。同ツールはSUSからは利用できない。
加えて,Microsoft UpdateとWSUSでは2件,Windows UpdateとSUSでは1件,セキュリティ以外の優先度の高い更新プログラムをリリースする予定である。
◎参考資料
◆マイクロソフト セキュリティ情報の事前通知
