マイクロソフトは11月15日,Microsoft XMLコアサービス(MSXML)とWindowsに関するセキュリティ情報と修正パッチ(セキュリティ更新プログラム)を計6件公開した。セキュリティ・ホールの最大深刻度は最悪の「緊急」。悪質なプログラムを勝手に実行される危険なセキュリティ・ホールが多数含まれるので,早急にパッチを適用したい。
「緊急」のセキュリティ情報が5件
今回公開されたセキュリティ情報は,11月10日の予告どおり6件。内訳は,MSXMLに関する情報が1件,Windowsに関するものが5件(関連記事:11月のセキュリティ情報は6件)。そのうち,最大深刻度が「緊急」に設定されているのは以下の5件。
(1)Internet Explorer 用の累積的なセキュリティ更新プログラム (922760) (MS06-067)
(2)Microsoft エージェントの脆弱性により,リモートでコードが実行される (920213) (MS06-068)
(3)AdobeのMacromedia Flash Playerの脆弱性により,リモートでコードが実行される (923789) (MS06-069)
(4)Workstation サービスの脆弱性により,リモートでコードが実行される (924270) (MS06-070)
(5)Microsoft XML コアサービスの脆弱性により,リモートでコードが実行される (928088) (MS06-071)
(1)の「Internet Explorer用の累積的なセキュリティ更新プログラム」は,Internet Explorer(IE)に関するセキュリティ情報。影響を受けるのは,Windows 2000/XP/Server 2003のIE 6ならびにWindows 2000のIE 5.01。IE 7は影響を受けない。
(1)には「DirectAnimation ActiveX コントロールのメモリ破損の脆弱性」と「HTML レンダリングのメモリの破損の脆弱性」が含まれる。いずれも,細工が施されたWebページにアクセスするだけで,悪質なプログラムを勝手に実行される危険なセキュリティ・ホール(脆弱性)である。
(1)については,既に第三者によって明らかにされ,セキュリティ・ホールを突く検証コードも公表されている(関連記事:IEにパッチ未公開のセキュリティ・ホール)。これを受けてマイクロソフトでは,セキュリティ・ホールの概要と回避策をまとめたセキュリティアドバイザリを9月15日に公開している(関連記事:パッチ未公開セキュリティ・ホールの回避策を公開)。
(2)の「Microsoft エージェントの脆弱性により,リモートでコードが実行される」は,Windows 2000/XP/Server 2003が影響を受けるセキュリティ情報。Windows 2000/XP/Server 2003に含まれる「Microsoftエージェント」のActiveXコントロールにはセキュリティ・ホールが存在する。このため,このActiveXコントロールを呼び出すような細工が施されたWebページにIEなどでアクセスすると,悪質なプログラムを勝手に実行される恐れがある。
(3)の「AdobeのMacromedia Flash Playerの脆弱性により,リモートでコードが実行される」は,米Adobe SystemsのFlash Player 8.0.24以前(8.0.24)に見つかったセキュリティ・ホールに関する情報。細工が施されたFlashファイルを開くだけ,あるいはそういったFlashファイルが置かれているWebページにアクセスするだけで任意のプログラムを実行させられる恐れがある。
(3)のセキュリティ・ホールは2006年9月に明らかにされ,Adobe Systemsでは修正版を公開済み(関連記事:Flash Playerに危険なセキュリティ・ホール)。Flash Playerはマイクロソフト製品ではないが,Windows XPにはデフォルトで含まれているため,同社では9月にセキュリティアドバイザリを公開。そして今回,Windows XP向けに限り,修正パッチの一つとしてFlash Playerの修正版を配布する。Windows XP以外のユーザーは,Adobe Systemsのサイトから修正版を適用する必要がある(詳細については関連記事を参照)。
