マイクロソフトは9月13日,WindowsとMicrosoft Officeに関するセキュリティ情報と修正パッチ(セキュリティ更新プログラム)を3件公表した。セキュリティ・ホールの最大深刻度は最悪の「緊急」なので,該当製品のユーザーはできるだけ早急にパッチを適用したい。
今回公開されたセキュリティ情報は,9月8日に予告されたとおり3件。内訳は,Windowsに関する情報が2件,Officeに関する情報が1件(関連記事:9月はWindowsとOfficeのセキュリティ情報を3件公開)。そのうち,最大深刻度が「緊急」に設定されているのは次の1件である。
(1)Microsoft Publisherの脆弱性により,リモートコードが実行される (910729) (MS06-054)
これは,Office製品の一つであるPublisherに見つかったセキュリティ・ホール。影響を受けるバージョンはPublisher 2003(Office 2003),Publisher 2002(Office XP),Publisher 2000(Office 2000)。
Publisherには,ある特定のデータを適切に検証しないセキュリティ・ホールが存在する。このため,細工が施されたPublisherファイル(.pub)を開くとメモリー破壊が発生し,ファイルに仕込まれた任意のプログラムを実行される恐れがある。
Office製品については,Word 2000にパッチ未公開セキュリティ・ホールが9月初頭に見つかっている(関連記事:またもMS Wordにパッチ未公開のセキュリティ・ホール)。このセキュリティ・ホールを悪用する“ゼロデイ攻撃”も確認されており,マイクロソフトからはセキュリティ アドバイザリが公開されている(関連記事:Word 2000のセキュリティ・ホール情報を公開)。危険なセキュリティ・ホールなので早急のパッチ公開が期待されているが,今回は公開されなかった。
Windowsに関するセキュリティ情報は次の2件。(2)の最大深刻度は上から2番目の「重要」,(3)の最大深刻度は3番目(下から2番目)の「警告」に設定されている。
(2)Pragmatic General Multicast (PGM) の脆弱性により,リモートでコードが実行される (919007) (MS06-052)
(2)は,Windows XPに実装されたPragmatic General Multicast(PGM)に関するセキュリティ・ホール。PGMとは,拡張可能なマルチキャスト・プロトコルのこと。影響を受けるのはWindows XP(XP SP1/SP2)。細工が施されたマルチキャスト・メッセージを,Microsoft メッセージ キュー サービス(MSMQ)を介して送信されると,メッセージに含まれる任意のプログラムを勝手に実行される恐れがある。
データを送信されるだけで悪用される可能性がある危険なセキュリティ・ホールである。しかしながら,影響を受けるのはMSMQをインストールしている場合のみ。デフォルトでは,MSMQはインストールされていない。このため,このセキュリティ・ホールの深刻度は「重要」に設定されている。
(3)インデックス サービスの脆弱性により,クロスサイト スクリプティングが行われる (920685) (MS06-053)
(3)はWindowのインデックス サービスに関するセキュリティ・ホール。Windows 2000/XP/Server 2003に実装されているインデックス サービスに,クロスサイト・スクリプティングのセキュリティ・ホールが見つかった。このため,WebサーバーのIIS(Internet Information Server)を稼働させている場合には,別のユーザーを攻撃する(例えば,悪意のあるスクリプトを実行させる)ためなどに悪用される恐れがある。ただし,Windows XP/Server 2003はデフォルトではIISは起動されないので,明示的にIISを稼働させていなければ影響を受けない。
いずれのセキュリティ・ホールについても,対策は修正パッチを適用すること。「Microsoft Update」から適用できる。自動更新機能を有効にしていれば自動的に適用される。(1)のパッチについては「Office のアップデート」から,(2)と(3)のパッチについては「Windows Update」からも適用可能。それぞれのセキュリティ情報のページからも修正パッチをダウンロードできる。(2)のパッチについては,適用後にマシンを再起動する必要がある。(1)と(3)のパッチについても,適用後に再起動を必要とする場合がある。
なお,(1)はPublisherのセキュリティ・ホールだが,(1)のパッチについては,Publisherをインストールしていなくても,別のOffice製品を使っている場合には適用される。これは,今回のパッチで修正されるPublisherのファイルのいくつかを,別のOffice製品でも使用しているためだ。
マイクロソフトは同日,悪質なプログラムを検出・駆除する無償ツール「悪意のあるソフトウエアの削除ツール」の新版も公開。新版では,「Bancos」や「Sinowal」などに対応した。
