★阿修羅♪ 現在地 HOME > IT7 > 358.html
 ★阿修羅♪
次へ 前へ
Windowsなどに危険なセキュリティ・ホールが多数,早急にパッチの適用を【itpro】
http://www.asyura2.com/0411/it07/msg/358.html
投稿者 元SEのおじさん 日時 2005 年 2 月 09 日 22:29:48: W0dUExWAHOi7M
 

(回答先: 2月のマイクロソフト月例セキュリティ修正は13件も,「緊急」が非常に多い【日本は9日未明です、なるべく速やかに。】 投稿者 元SEのおじさん 日時 2005 年 2 月 08 日 23:28:47)

[2005/02/09] バックナンバー

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050209/155909/

 マイクロソフトは2月9日,WindowsやOffice,Internet Explorer(IE)などに関するセキュリティ情報とパッチを公開した。今回公開されたのは計12件。そのうち,深刻度が最悪の「緊急」に設定されているものが8件。「緊急」のセキュリティ・ホールを悪用されると,リンクをクリックしたりファイルを開いたりしただけで,悪質なプログラム(例えばウイルス)を実行させられる。「Windows Update」や「Office のアップデート」などを実施して,できるだけ早くパッチを適用したい。

 なお,同社の事前告知では,公開予定のセキュリティ情報は13件とされていたが,12件に変更された(関連記事)。

 最大深刻度が「緊急」に設定されたセキュリティ情報は以下の8件。

(1)Microsoft Office XP の脆弱性により,リモートでコードが実行される (873352)
(2)PNG 処理の脆弱性により,リモートでコードが実行される (890261)
(3)ライセンス ログ サービスの脆弱性により,コードが実行される (885834)
(4)サーバー メッセージ ブロックの脆弱性により,リモートでコードが実行される (885250)
(5)OLE および COM の脆弱性により,リモートでコードが実行される (873333)
(6)DHTML 編集コンポーネントの Active X コントロールの脆弱性により,リモートでコードが実行される (891781)
(7)Internet Explorer 用の累積的なセキュリティ更新プログラム (867282)
(8)ハイパーリンク オブジェクト ライブラリの脆弱性により,リモートでコードが実行される (888113)

 (1)および(2)については細工が施されたファイルを読み込むと,(3)と(4)については細工が施されたデータを送信されると,任意のプログラムを実行させられる。(5)(6)(7)については,細工が施されたWebページやHTMLファイルを開くと,(8)については細工が施されたリンクをクリックしただけで任意のプログラムを実行させられる可能性がある。いずれも危険なセキュリティ・ホールである。

 影響を受ける製品は,それぞれ以下の通り。まず,(1)の影響を受けるのは,Office XPやProject 2002,Visio 2002など。Office 2000やOffice 2003は影響を受けない。(2)の影響を受けるのは,Windows Media Player 9やWindows Messenger 5.0など。

 (3)の影響を受けるのはWindowsサーバーOS。具体的には,Windows NT Server 4.0/ NT Server 4.0 Terminal Server Edition(TSE),Windows 2000 Server,Windows Server 2003。(4)(5)(6)および(8)はWindows 2000/XP/Server 2003。(7)はIE 5.01および6。

 なお,Windows NTに関しては,(3)では影響を受けることが明記されてパッチが公開されているが,それ以外については,パッチはもちろん,影響の有無についても公開されていない。サポート期間が終了したためだ(関連記事)。同社では「今後の脆弱性の影響を受ける可能性を防ぐため,これらのオペレーティングシステム(NT 4.0 Workstation/Server)を使用しているお客様は,サポート対象のバージョンに移行することを強く推奨します」としている。

 いずれのセキュリティ・ホールについても,対策は公開されているパッチを適用すること。(2)〜(8)については,Windows Updateから適用できる。

 (1)については,セキュリティ情報のページからダウンロードするか,「Office のアップデート」から適用する。「Office のアップデート」ページで「アップデートの確認」をクリックすれば,Windows Updateと同じように必要なパッチを検出ならびに適用してくれる。なお,クライアント用更新プログラムの適用対象はOffice XP SP3なので注意。Office XP SP2以前の環境では,パッチの適用前にSP3をインストールする必要がある。

 すぐにパッチを適用できない環境での回避策については,それぞれのセキュリティ情報を参照してほしい。

 このほか,最大深刻度が上から2番目の「重要」および上から3番目(下から2番目)の「警告」に設定されているセキュリティ情報も公開されている。

 「重要」に設定されているセキュリティ情報は以下の3件。

(9)ASP.NET パス検証の脆弱性 (887219)
(10)Windows の脆弱性により,情報漏えいが起こる (888302)
(11)Windows シェルの脆弱性により,リモートでコードが実行される (890047)

 「緊急」は次の1件。

(12)Windows SharePoint Services および SharePoint Team Services の脆弱性により,クロスサイト スクリプティングおよびなりすましの攻撃が行われる (887981)

 いずれのパッチについても,Windows Updateから適用できる。ただし(12)については,SharePoint Team Servicesユーザーはセキュリティ情報のページあるいは「Office のアップデート」からパッチを入手する必要がある。

◎参考資料
◆2005年2月のセキュリティ情報

(勝村 幸博=IT Pro)

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。