マイクロソフトは2007年11月14日、Windowsに関するセキュリティ情報を2件公開した。そのうち1件は、最大深刻度(危険度)が最悪の「緊急」。細工が施されたWebページやファイルを開くだけで被害に遭う脆弱(ぜいじゃく)性が含まれる。実際、この脆弱性を悪用するウイルス(悪質なファイル)が既に出回っている。対策は、同日公開された修正パッチ(セキュリティ更新プログラム)を適用すること。

 今回公開されたセキュリティ情報は以下の2件。(1)の深刻度は「緊急」、(2)については、上から2番目の「重要」に設定されている。

(1)[MS07-061]Windows URI処理の脆弱性により、リモートでコードが実行される (943460)
(2)[MS07-062]DNSの脆弱性により、なりすましが行われる (941672)

 (1)は、Windows XPとWindows Server 2003の脆弱性に関する情報。Windows XPとWindows Server 2003には、アプリケーションソフトなどから渡されたURLを適切に処理できない問題が存在する。このため、細工が施されたURLを含むWebページやファイルを開くだけで、URLに含まれるプログラム(コマンド)を実行される危険性がある。

 なお、この脆弱性を悪用されるのは、Internet Explorer 7(IE7)をインストールしている環境に限られる。IE7をインストールしていないWindows XP/Server 2003マシンには、脆弱性は存在するものの、悪用される危険性はない。また、Windows 2000やWindows Vistaには、今回の脆弱性は存在しない。

 (1)の脆弱性については、第三者によって既に公表されている。マイクロソフトも今回のセキュリティ情報に先駆けて、脆弱性の概要や回避策などをまとめた「セキュリティ アドバイザリ」を10月11日付けで公開している。

 脆弱性を悪用するウイルス(ファイル)も既に複数出現している。例えば10月23日前後には、米アドビシステムズの「Adobe Reader/Acrobat」の脆弱性と(1)の脆弱性を組み合わせて悪用するPDFファイル(いわゆる「PDFウイルス」)が出現。IE7をインストールしているWindows XP/Server 2003マシンでは、このPDFファイルをAdobe ReaderやAcrobatで開くだけで、中に仕込まれたプログラム(ウイルス)が動き出して被害に遭う。

 アドビシステムズでは、Adobe Reader/Acrobatの修正パッチ(アップデートプログラム)を10月22日に公開。この修正パッチを適用していれば、PDFウイルスは防げるものの、別のアプリケーション(例えばIE7)を経由した攻撃は防げない。このため、Adobe Reader/Acrobatの修正パッチを適用した上で、(1)の修正パッチを適用しておく必要がある。

 (2)は、Windows 2000 ServerとWindows Server 2003が影響を受ける脆弱性情報。これらのDNSサーバーサービス(Windows DNSサーバー)には、攻撃者によるなりすましを許す脆弱性が存在する。

 具体的には、攻撃者が運用するDNSサーバーからの応答(レスポンス)を、正当なDNSサーバーからの応答だとみなす恐れがある。これにより、Windows 2000 Server/Server 2003のDNSサーバーを利用しているユーザーが、フィッシング詐欺サイトのような悪質なサイトに誘導される危険性がある。

 攻撃が成功した場合には深刻な被害を招く恐れがあるものの、「攻撃を成功させるのは、それほど容易ではない」(マイクロソフトのセキュリティレスポンス マネージャ 小野寺匠氏)ために、深刻度は「重要」に設定されているという。

 なお、Windows 2000 ProfessionalやWindows XP、Windows Vistaには、DNSサーバーサービスが実装されていないため、(2)の脆弱性は存在しない。

 (1)と(2)のいずれの脆弱性についても、対策は、同日公開の修正パッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。また、それぞれのセキュリティ情報のページ(ダウンロードセンター)からも修正パッチをダウンロードできる。