Windows, Excel などに 22 件の欠陥。10 個のパッチがリリース
Microsoft の10月のセキュリティ情報が公開されました。MS04-029~MS04-038の10件のセキュリティ情報があり、合計22件もの欠陥が修正されています。10件中、緊急のものが7件、重要は3件あります。Excel に見つかった欠陥については、Windows だけでなく Mac にも影響があります。
CNET Japan の記事によると、
3件の脆弱性はSasserのようなワームの発生につながる可能性もあるが、Windowsの大半のバージョンでは脆弱なサービスがデフォルトでは起動しないことから、その危険度は低いと述べている。これらの欠陥は3つのネットワークプロトコル–Simple Mail Transfer Protocol(SMTP)、NNTP(NNTP)、およびNetwork Dynamic Data Exchange(NetDDE)–に関連したもので、Windowsコンピュータでは通常有効になっていない。
とのことで、今回の欠陥がすぐに Blaster や Sasser のような Worm に利用される可能性は低そうです。しかし、Internet Explorer や Excel の欠陥などを使って、悪意のあるサイトに誘導してトロイの木馬をダウンロードさせるように悪用される可能性もあります。すでに MS04-037 の欠陥を使ったと見られるウイルスが検知されているそうです。パッチの適用は早いに超したことはありませんね。
- MS04-029
-
RPC ランタイムライブラリの脆弱性により、情報漏えいおよびサービス拒否が起こる。
Windows NT4.0 Server が対象。
重要
(CAN-2004-0569) - MS04-030
-
WebDAV XML Message ハンドラの脆弱性によりサービス拒否が起こる。 Windows 2000 / XP / Server 2003 が対象。
重要
(CAN-2004-0718) - MS04-031
-
NetDDE の脆弱性により、リモートでコードが実行される。
NT4.0 / 2000 / XP / Server 2003 が対象。
Windows 98 Me も影響を受けますが、深刻度が緊急ではないのでパッチはリリースされません。
重要
(2004-0206) - MS04-032
-
Microsoft Windows のセキュリティ更新プログラム。次の4つの欠陥の修正。
- Windows Management の脆弱性(2004-0207)
- 仮想 DOS マシンの脆弱性(2004-0208)
- Graphics Rendering Engine の脆弱性(2004-0209)
- Windows カーネルの脆弱性(2004-0211)
NT4.0 / 2000 / XP / Server 2003 が対象。
Windows 98 Me も影響を受けますが、深刻度が緊急ではないのでパッチはリリースされません。
緊急 - MS04-033
-
Microsoft Excel の脆弱性により、コードが実行される
Excel・Office の 2000, 2002, 2001 for Mac, v.X for Mac が対象。
Excel 2002 SP3, 2003, 2004 for Mac は影響を受けない。
緊急
(CAN-2004-0846) - MS04-034
-
圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される。
Windows XP / Server 2003 が対象。
緊急
(CAN-2004-0575) - MS04-035
-
SMTP の脆弱性により、リモートでコードが実行される。
Windows Server 2003 / Excahnge Server 2003 などが対象。
緊急
(CAN-2004-0840) - MS04-036
-
NNTP の脆弱性により、コードが実行される。
Windows 98 NT Server 4.0 / 2000 Server / Server 2003 などが対象。
緊急
(CAN-2004-0574) - MS04-037
-
Windows シェルの脆弱性により、リモートでコードが実行される。
NT4.0 / 2000 / XP / Server 2003 が対象。
Windows 98 Me も影響を受けますが、深刻度が緊急ではないのでパッチはリリースされません。
緊急
(CAN-2004-0214 および CAN-2004-0572) - MS04-038
-
Internet Explorer 用の累積的なセキュリティ更新プログラム。
緊急。
次の既知のものを含む複数の欠陥が修正されます。- CSS のヒープメモリの破損の脆弱性(CAN-2004-0842)
- 類似したメソッド名によるリダイレクトのクロスドメインの脆弱性(CAN-2004-0727)
- インストールエンジンの脆弱性(CAN-2004-0216)
- ドラッグアンドドロップの脆弱性。ようやく修正されました。(CAN-2004-0839)
- 2バイト文字セットを使用するロケールにおけるアドレスバーのなりすましの脆弱性(CAN-2004-0844)
- プラグイン ナビゲーション アドレスバーを使用したなりすましの脆弱性(CAN-2004-0843)
- ダウンロードされた画像タグファイルのスクリプトによる脆弱性(CAN-2004-0841)
- SSL キャッシュの脆弱性(CAN-2004-0845)
Windows 98 / Me / NT4.0 / 2000 / XP / Server 2003 上の IE 5.01, 5.5, 6SP1 が対象。
上記で対象となっていても、当てはまらない場合もあります。例えば Windows XP の SP2 では、MS04-038 以外は影響を受けないそうです。(Excel がインストールされている場合を除く。)
しかし、アドレスバー偽装の欠陥や、ポップアップウィンドウによる画面の偽装など、致命的なのに直っていない欠陥もまだありますね。まだまだ IE を安心して使うことはできないようです。
コメントはまだありません
No comments yet.
Sorry, the comment form is closed at this time.