マイクロソフトは2月10日,MSN Messengerなどの脆弱性(セキュリティ・ホール)を突くコードが出回っていることを警告した。最新のセキュリティ更新プログラム(パッチ)を適用するよう促すととともに,企業においては,MSN Messengerを無効にすることも勧めている。なお,MSN Messengerの脆弱性はWindows Updateを実施するだけでは解消されないので要注意。
マイクロソフトは2月9日,複数のセキュリティ情報を公開した(関連記事)。その中の「PNG 処理の脆弱性により,バッファオーバーランが起こる (890261) (MS05-009)」については,これを悪用するコード(ファイル)がインターネット上で公開された(関連記事)。このため同社では,注意を促す情報を公開した。
同情報では,(1)「Windows Updateを実施して,Windows を最新の状態にする」および(2)「MSN Messenger を更新する」ことを呼びかけている。(2)については,「MSN Messenger Web サイト」から,脆弱性を修正済みのMSN Messenger(メッセンジャー)6.2あるいは7.0(お試し版)にバージョンアップする。
MSN Messenger 6.1/6.2用のパッチは,セキュリティ情報のページからダウンロードできる。ただしこれらについては,Windows Updateからは適用できないので要注意。Windows Updateから適用できるのは,「Windows Media Player 9 シリーズ」および「Windows Messenger バージョン 4.7.2009/4.7.3000」用のパッチだけである。
加えて同社では,企業環境では「MSN Messengerを削除する」あるいは「MSN Messengerの接続をブロックする」ことを勧めている。「MSN Messengerは,企業環境での使用を意図した設計になってい」ないとする。企業環境では,MSN Messengerではなく,Windows Messengerを使うよう勧めている。MSN Messenger の接続をブロックする方法については,同社のサポート技術情報に詳しい。
◎参考資料
◆MS05-009 の脆弱性を悪用するコードを防御する方法
◆[MSN] 企業環境で MSN Messenger および MSN Web Messenger を無効にする方法
(勝村 幸博=IT Pro)
