Windowsに複数の危険なセキュリティ・ホール，“超特大”も含まれる

　マイクロソフトは4月14日，Windows 2000／XP／Server 2003／NT 4.0などに見つかった複数のセキュリティ・ホールを公表した。細工が施されたデータを送信されると，悪質なプログラムを実行させられたり，マシンが正常に動作しなくなったりする危険なセキュリティ・ホールが含まれる。対策はパッチを適用すること。「Windows Update」を実施するなどして，すぐに対策を施す必要がある。なお，Windows NT 4.0ではWindows Updateを利用できない場合があるので要注意（関連記事）。

　マイクロソフトは2003年10月から，セキュリティ情報とパッチを月に1回まとめて公開している（関連記事）。ただし，深刻なセキュリティ・ホールについては，この限りではない（関連記事）。

　2004年4月分として公開された，Windows OS関連のセキュリティ情報は以下の3種類である。

• Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
• Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
• Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)

　「MS04-011」と「MS04-012」では，それぞれ複数のセキュリティ・ホールが公表されている。その中には，マシンをネットワークに接続しただけで任意のプログラムを実行させられる“超特大”のセキュリティ・ホールが含まれる。ここで“超特大”のセキュリティ・ホールとは，「特別なソフトウエアや機能を組み込んでいなくても，ほとんどすべてのWindowsが影響を受ける」かつ「セキュリティ・ホールを悪用するのに，攻撃対象マシンのユーザーのアクションを必要としない（ユーザーがWebページやHTMLメールなどを閲覧せず，インターネットに接続するだけでも被害に遭う）」ようなセキュリティ・ホールを指す。

　「MS04-014」は，Windowsに含まれる「Microsoft Jet データベース エンジン」のセキュリティ・ホールである。Jet を使用するアプリケーションを稼働させている場合，細工が施されたデータを送り込まれると，任意のプログラムを実行させられる恐れがある。Windows NT 4.0にはJetはデフォルトで含まれないが，Jet単体あるいはJetを含むアプリケーションをインストールしている場合には影響を受ける。Jetがインストールされているかどうかは，マシン内に「Msjet40.dll」が存在するかどうかで調べられる。

　セキュリティ・ホールの最大深刻度は，「MS04-011」において Windows 2000／XP／Server 2003／NT 4.0 は最悪の「緊急」，Windows 98／98SE／Meでは「緊急ではない」と設定されている。「MS04-012」では，Windows 2000／XP／Server 2003 は「緊急」，Windows NT 4.0は1番下（上から4番目）の「注意」，Windows 98／98SE／Meでは「緊急ではない」に設定されている。「MS04-14」では，Windows 2000／XP／Server 2003／NT 4.0 は上から2番目の「重要」，Windows 98／98SE／Meでは「緊急ではない」に設定されている。

　通常，マイクロソフトでは，セキュリティ・ホールの深刻度を，上から「緊急」「重要」「警告」「注意」――の4段階で評価しているが，Windows 98／98SE／Meでは「緊急」あるいは「緊急ではない」の2段階で評価される。そして，「緊急ではない」の場合には，たとえ影響を受けるとしてもパッチを公開しない。このため，「MS04-011」と「MS04-012」，「MS04-014」のいずれについても，Windows 98／98SE／Me用のパッチは公開されない。

　対策はパッチを適用すること。いずれのパッチもWindows Updateから適用できる。ただし，Windows NT 4.0でInternet Explorer（IE）5.xを利用している環境では，「Windows Update」にアクセスできないトラブルが発生している（関連記事）。NT 4.0でIE 5.xを利用している場合には，代替ページ「http://windowsupdate.microsoft.com/r1150/v31site」にアクセスするか，セキュリティ情報のページからパッチをダウンロードして手動で適用する。

　パッチをすぐに適用できない環境では，パッチ適用以外の回避策を実施する。具体的な回避策については，「MS04-011」および「MS04-012」のセキュリティ情報を参照してほしい。ただし，「MS04-014」については，パッチ適用以外の回避策は存在しない。

　同日，Outlook Expressのセキュリティ・ホールも公開されている（関連記事）。こちらの深刻度も「緊急」なので，Outlook Expressがインストールされているマシンではすぐにパッチを適用しよう。

◎参考資料
◆2004 年 4 月のセキュリティ情報 (Windows)
◆Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
◆マイクロソフト セキュリティ情報 (MS04-011) ： よく寄せられる質問
◆Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
◆マイクロソフト セキュリティ情報 (MS04-012) ： よく寄せられる質問
◆Microsoft Jet データベース エンジンの脆弱性によりコードが実行される (837001) (MS04-014)
◆マイクロソフト セキュリティ情報 (MS04-014) ： よく寄せられる質問

（勝村　幸博＝IT Pro）