マイクロソフト、7件のセキュリティ警告を公開。うち4件がWindowsの深刻な問題
エンタープライズ
その他
注目記事
拡大写真
マイクロソフトは、WindowsやExchange Serverの複数のセキュリティホールについて公開、修正ファイルの提供を開始した。うち5件はWindows OSに関するもので、そのうち4つは深刻度レベルが最も高い「緊急」とされている。
特に影響のありそうなもののひとつは、Authenticodeで特定のメモリの不足が発生した際に、ActiveXコントロールが無警告で実行されてしまうというセキュリティホール。通常はダウンロード・インストールの前にダイアログが表示されるが、このセキュリティホールのために、確認なしにActiveXコントロールが動作してしまう。ウェブサイトを訪れただけでコードが実行されるわけで、非常に危険といえる。最新の累積パッチを導入している環境やIE6.0以降ではこの危険が軽減されているが、安全のため修正は導入しておこう。
このほか、Windowsのメッセンジャサービス(WindowsMessengerなどのインスタントメッセンジャ機能ではなく、net sendコマンドを使用するまったく別のシステム)にあるバッファオーバーフロー脆弱性では、外部から任意のコードを実行されてしまう。NetBIOSを使用するサービスなので、ブロードバンドルータなどを使用していれば、通常はインターネット側から起動されることはないが、これを突くワームが登場してLAN内で活動されるとやっかいだ。
そのほか、リストボックスとコンボボックスコントロールのバッファオーバーフロー脆弱性は、権限昇格をともなった不正コード実行のおそれがあるものだ(権限昇格が起きるのはWindows2000環境のみで、XPなどはコード実行のみ)。
Exchange Server関連のセキュリティホールは2件。Exchange Server 5.5およびExchange 2000 Serverのインターネットメールサービスに外部からコードが起動されるおそれがあるというものと、Exchange Server 5.5 Outlook Web Accessにあるクロスサイトスクリプティング脆弱性の2点。メールサービスの脆弱性は、外部からサーバを乗っ取られるおそれがあるため、対象製品を使用している場合は修正プログラムを適用していただきたい。
特に影響のありそうなもののひとつは、Authenticodeで特定のメモリの不足が発生した際に、ActiveXコントロールが無警告で実行されてしまうというセキュリティホール。通常はダウンロード・インストールの前にダイアログが表示されるが、このセキュリティホールのために、確認なしにActiveXコントロールが動作してしまう。ウェブサイトを訪れただけでコードが実行されるわけで、非常に危険といえる。最新の累積パッチを導入している環境やIE6.0以降ではこの危険が軽減されているが、安全のため修正は導入しておこう。
このほか、Windowsのメッセンジャサービス(WindowsMessengerなどのインスタントメッセンジャ機能ではなく、net sendコマンドを使用するまったく別のシステム)にあるバッファオーバーフロー脆弱性では、外部から任意のコードを実行されてしまう。NetBIOSを使用するサービスなので、ブロードバンドルータなどを使用していれば、通常はインターネット側から起動されることはないが、これを突くワームが登場してLAN内で活動されるとやっかいだ。
そのほか、リストボックスとコンボボックスコントロールのバッファオーバーフロー脆弱性は、権限昇格をともなった不正コード実行のおそれがあるものだ(権限昇格が起きるのはWindows2000環境のみで、XPなどはコード実行のみ)。
Exchange Server関連のセキュリティホールは2件。Exchange Server 5.5およびExchange 2000 Serverのインターネットメールサービスに外部からコードが起動されるおそれがあるというものと、Exchange Server 5.5 Outlook Web Accessにあるクロスサイトスクリプティング脆弱性の2点。メールサービスの脆弱性は、外部からサーバを乗っ取られるおそれがあるため、対象製品を使用している場合は修正プログラムを適用していただきたい。
《伊藤雅俊》
特集
関連リンク
- [Microsoft TechNet] Authenticode の検証の脆弱性により、リモートでコードが実行される (MS03-041)
- [Microsoft TechNet] Windows トラブルシュータ ActiveX コントロールのバッファ オーバーフローにより、コードが実行される (MS03-042)
- [Microsoft TechNet] メッセンジャ サービスのバッファ オーバーランにより、コードが実行される (MS03-043)
- [Microsoft TechNet] Windows の「ヘルプとサポート」のバッファ オーバーランにより、システムが侵害される (MS03-044)
- [Microsoft TechNet] リストボックスおよびコンボボックスのコントロールのバッファ オーバーランにより、コードが実行される (MS03-045)
- [Microsoft TechNet] Exchange Server の脆弱性により、任意のコードが実行される (MS03-046)
- [Microsoft TechNet] Exchange Server 5.5 Outlook Web Access の脆弱性により、クロスサイト スクリプティングの攻撃が実行される (MS03-047)