★阿修羅♪ > IT8 > 403.html ★阿修羅♪ |
Tweet |
http://headlines.yahoo.co.jp/hl?a=20051012-00000015-imp-sci
マイクロソフト(株)は12日、毎月公開される修正プログラムの10月版として、セキュリティ修正プログラムと対応する脆弱性情報を公開した。修正プログラムは現在、同社ソフトの更新サービス“Windows Update”や“Microsoft Update”のWebサイトからダウンロードできるほか、Windowsの自動更新機能をONにしておくことで自動的にダウンロードと適用が可能。
“緊急”レベルでDirectX 7/8/9の“DirectShow”コンポーネントが対象となる“MS05-050”は、特別な細工が施されたAVIファイルをWindows Media PlayerなどDirectShowを利用するプレイヤーで開くと任意のコードが実行される脆弱性。また同じく“緊急”レベルでIE5/6が対象の“MS05-052”は、特別な細工が施されたWebページを開くと任意のコードが実行される脆弱性。いずれもWindows 2000/XP/Server 2003用の修正プログラムが公開されている。Windows 98/Meもこれらの脆弱性の影響を受けるが、現在修正プログラムは公開されていない。
また、“緊急”レベルの“MS05-051”は、Windows 2000/XP/Server 2003にインストールされているDTC(Distributed Transaction Coordinator)サービスおよび“COM+”コンポーネントがもつ脆弱性で、DTCサービスに不正なデータが送られると、任意のコードが実行されたり、特別な権限をもつユーザーアカウントが作成される。DTCサービスはデーベースの分散処理などに使われるサービス。
“重要”レベルの脆弱性は4件。“MS05-049”はWindows 2000/XP/Server 2003のシェルがもつ脆弱性で、特別な細工が施されたショートカット(.lnk)を開いたり、エクスプローラ上で特別な細工が施されたHTMLファイルをプレビューした際に任意のコードが実行されるというもの。“MS05-047”はWindows 2000/XPの“プラグ&プレイ”機能がもつ脆弱性で、リモートから特殊なデータを送信して任意のプログラムを実行される恐れがあるほか、ローカル上で特別な権限をもつユーザーアカウントを作成される恐れがある。
また、“MS05-048”はWindows 2000/XP/Server 2003上のIIS 5.0/6.0やExchange 2000 Serverでメール送信を行うコンポーネント“Collaboration Data Objects”がもつ脆弱性で、“MS05-046”はNetWare用のクライアントサービスがもつ脆弱性。どちらも、ユーザーが明示的にインストールしたり機能をONにした場合にのみ影響を受ける。
そのほか“警告”レベルの脆弱性は2件。“MS05-044”はWindowsのFTP機能において、特殊なファイル名のファイルをダウンロードすると、ダウンロードしたファイルが、ユーザーが指定したフォルダとは別のフォルダに置かれるという脆弱性。SP2を適用していないWindows XP、SP1を適用していないWindows Server 2003、IE6をインストールしたWindows 2000が影響を受ける。また、“MS05-045”はWindows 2000/XP/Server 2003のネットワークを管理するコンポーネント“ネットワーク接続マネージャ”(netman.dll)がもつ脆弱性で、特別な細工が施されたデータを受信するとパソコンの動作が停止するというもの。
□Microsoft Security ホーム
http://www.microsoft.com/japan/security/default.mspx
(中村 友次郎)
(impress Watch) - 10月12日19時31分更新