マイクロソフトは4月13日,WindowsやInternet Explorer(IE)などに関するセキュリティ情報8件を公表した。最大深刻度(セキュリティ・ホールの危険度)が最悪の「緊急」に設定されているセキュリティ情報は5件,2番目の「重要」に設定されているのは3件。危険なセキュリティ・ホールが複数含まれているので,できるだけ早急に「Windows Update」などからパッチを適用したい。ただし,Microsoft WordやMSN MessengerなどのパッチはWindows Updateからは適用できないので要注意。
「緊急」のセキュリティ情報が5件
4月の「月例セキュリティ情報」として公開されたのは,事前通知どおり8件だった(関連記事)。そのうち,最大深刻度が「緊急」に設定されているセキュリティ情報は以下の5件。いずれも,マシン上で任意のプログラムを実行される可能性がある危険なセキュリティ・ホールを含む。
(1)TCP/IP の脆弱性により,リモートでコードが実行され,サービス拒否が起こる (893066) (MS05-019)
(2)Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)
(3)Microsoft Word の脆弱性により,リモートでコードが実行される (890169) (MS05-023)
(4)Exchange Server の脆弱性により,リモートでコードが実行される (894549) (MS05-021)
(5)MSN Messenger の脆弱性により,リモートでコードが実行される (896597) (MS05-022)
(1)の「MS05-019」には5種類のセキュリティ・ホールが含まれる。影響を受けるのはWindows 2000/XP/Server 2003および98/98SE/Me。最大深刻度は,Windows 2000/XP SP1が「緊急」,Windows XP SP2/Server 2003が上から3番目(下から2番目)の「警告」。Windows 98/98SE/Meは「緊急でない」に設定されているのでパッチは提供されない(詳細はセキュリティ情報の「このセキュリティ更新プログラムに関するよく寄せられる質問」を参照のこと)。
(1)のセキュリティ・ホールを悪用されると,細工が施されたパケットを送信されるだけで任意のプログラムを実行させられる。また,パソコンが反応しなくなったり,再起動させられたりする恐れもある。つまり,DoS(サービス妨害)攻撃を受ける恐れがある。
(2)の「MS05-020」には3種類のセキュリティ・ホールが含まれる。影響を受けるのは,Windows 2000/XP/Server 2003および98/98SE/MeのIE。いずれについても最大深刻度は「緊急」。細工が施されたWebページを開くだけで,悪質なプログラムを実行させられる可能性があるためだ。しかしながら,Windows 98/98SE/MeのIEについてはパッチは未公開。今後公開されることが予想されるので,公開され次第適用したい。
(3)の「MS05-023」には2種類のセキュリティ・ホールが含まれる。いずれもバッファ・オーバーフローのセキュリティ・ホールである。影響を受けるのは,Word 2000/2002/2003。最大深刻度は,Word 2000/2002は「緊急」,Word 2003は「重要」。いずれの場合も,細工が施されたWord文書を読み込むと,文書に仕込まれた悪質なプログラムを実行させられる可能性がある。
(4)の「MS05-021」には1種類のセキュリティ・ホールが含まれる。Exchange Server 2000/2003が影響を受ける。最大深刻度は,Exchange Server 2000が「緊急」,Exchange Server 2003が「警告」。細工を施したSMTPコマンドを送信されると,Exchange Serverが稼働するマシン上で任意のプログラムを実行される可能性がある。Exchange Serverのサービスを停止される恐れもある。
ただし,Exchange Server 2003については,認証されていないユーザーからのSMTPコマンド(SMTP接続)を受け付けないため,デフォルトでは危険性は低い。このため,最大深刻度は「警告」に設定されている。
(5)の「MS05-022」には1種類のセキュリティ・ホールが含まれる。影響を受けるのは,MSN Messenger 6.2。MSN Messenger 7.0は影響を受けない。細工が施されたメッセージを送信されると,任意のプログラムを実行させられる可能性がある。ただし,「メンバ リスト」に登録していないユーザーから攻撃を受けることはない。このため,メンバリストから信頼できないユーザーを削除することが回避策の一つとなる。
Windows UpdateやOfficeアップデートを
いずれのセキュリティ・ホールについても,根本的な対策はパッチを適用すること。(1)(2)のパッチは,Windows Updateおよびセキュリティ情報のページから適用できる。なお,フィッシング目的の偽のWindows Updateサイトが複数確認されている(関連記事)。このため,偽のWindows Updateへ誘導するような偽メールには注意したい。自分でURLを入力する,あるいはWindows/IEのメニューなどからWindows Updateへアクセスするようにしたい。
(3)のパッチは「Officeのアップデート」およびセキュリティ情報のページから,(4)と(5)のパッチはセキュリティ情報のページから適用できる。
Windows NTについてはサポート対象ではないため,いずれのセキュリティ情報でも言及していない。影響を受けないためではないので注意してほしい(関連記事)。
パッチをすぐに適用できない環境やパッチが用意されていない環境では,「(パーソナル)ファイアウオールで悪質なトラフィックを遮断する」「信頼できないファイル/Webページは開かない」といったセキュリティのセオリーを守ることで回避したい。それぞれのセキュリティ・ホールに対する回避策については,それぞれのセキュリティ情報を参照してほしい。
なお,セキュリティ・ベンダーの米eEye Digital Securityは米国時間3月16日および3月29日付けで,最大深刻度「緊急」に相当すると思われるセキュリティ・ホールの概要を公表している(関連記事)。しかしながら,これらに関する情報やパッチは公表されなかった模様である。次回に期待したい。
「重要」のセキュリティ情報は3件
上記5件の「緊急」情報に加え,最大深刻度が「重要」のセキュリティ情報が3件公開されている。
(6)Windows シェルの脆弱性により,リモートでコードが実行される (893086) (MS05-016)
(7)メッセージ キューの脆弱性により,コードが実行される (892944) (MS05-017)
(8)Windows Kernel の脆弱性により,特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
影響を受けるのは,(6)と(8)がWindows 2000/XP/Server 2003および98/98SE/Me,(7)がWindows 2000/XPおよび98/98SE/Me。
【4月14日お詫びと訂正】(7)の影響を受けるのはWindows 2000/XPおよび98/98SEです。Widnows Meは影響を受けません。訂正してお詫びいたします。【以上,4月14日お詫びと訂正】
「緊急」のセキュリティ情報と比較すれば危険度が低いものの,任意のプログラムを実行されるようなセキュリティ・ホールも含まれる。このため,できるだけ早急にパッチを適用したい。いずれについても,Windows Updateから適用できる。ただし(6)のWindows 98/98SE/Meについては,深刻度が「緊急ではない」に設定されているのでパッチは提供されない。【4月14日追記】(7)のWindows 98/98SE,(8)のWindows 98/98SE/Meについても,深刻度は「緊急ではない」のでパッチは提供されない。【以上,4月14日追記】
◎参考資料
◆2005 年 4 月のセキュリティ情報
◆Windows シェルの脆弱性により,リモートでコードが実行される (893086) (MS05-016)
◆メッセージ キューの脆弱性により,コードが実行される (892944) (MS05-017)
◆Windows Kernel の脆弱性により,特権の昇格およびサービス拒否がおこる (890859) (MS05-018)
◆TCP/IP の脆弱性により,リモートでコードが実行され,サービス拒否が起こる (893066) (MS05-019)
◆Internet Explorer 用の累積的なセキュリティ更新プログラム (890923) (MS05-020)
◆Exchange Server の脆弱性により,リモートでコードが実行される (894549) (MS05-021)
◆MSN Messenger の脆弱性により,リモートでコードが実行される (896597) (MS05-022)
◆Microsoft Word の脆弱性により,リモートでコードが実行される (890169) (MS05-023)
(勝村 幸博=IT Pro)
