米Microsoftは11月22日,11月15日に公開したMicrosoft XMLコアサービス(MSXML)の修正パッチ(セキュリティ更新プログラム)を,同社のパッチ配布/管理ツール「Software Update Services(SUS)1.0」からも利用可能にしたことを明らかにした。
11月15日に公開された「Microsoft XMLコアサービスの脆弱性により,リモートでコードが実行される (928088) (MS06-071)」は,Windowsに含まれるMSXMLに関するセキュリティ情報(関連記事:マイクロソフトが月例パッチを公開)。MSXMLに含まれるXMLHTTP ActiveXコントロールにセキュリティ・ホールが存在するため,このコントロールを呼び出すようなHTMLファイル(WebページやHTMLメール)にアクセスするだけで,悪質なプログラムを実行される恐れがある。
実際,修正パッチが公開される前に悪用されたことが確認されている。いわゆる,ゼロデイ攻撃(パッチなどが未公開の状況でおこなわれる攻撃)である(関連記事:Windowsにまたもやゼロデイ攻撃)。このためマイクロソフトでは,パッチ公開に先駆けて,セキュリティ・ホールの概要や回避策をまとめたセキュリティアドバイザリを11月4日に公開した。
11月15日にはセキュリティ情報と同時に修正パッチが公開され,Microsoft Updateや自動更新機能,Windows Server Update Services(WSUS),ダウンロードセンターなどから利用可能となった。しかしながら,SUSでは配信できない状態が続いていた。それが今回,SUSからも適用可能になった。
なおSUSについては,2006年12月6日までとされていたサポート期間が,2007年7月10日(米国時間)までに延長された(関連記事:パッチ配布ツール「SUS」のサポート期間がさらに延長)。同社ではSUSのユーザーに対して,サポートが切れる前にWSUSへ移行するよう強く勧めている。
・Microsoft Security Response Center Blog
