Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MSが月例パッチを公開 - ゼロデイ攻撃発生していたURL処理の問題を解消

マイクロソフトは、11月の月例セキュリティ更新プログラムを公開した。当初の予告どおり、深刻度「緊急」「重要」とされるプログラムがそれぞれ1件づつ提供している。

深刻度が「緊急」とされる脆弱性は、Windows XPやWindows Server 2003にInternet Explorer 7をインストールした場合、WindowsのURIの処理に問題が発生するもので、不正に細工したURLを開いた場合、リモートでコードが実行され、パソコン内のデータにアクセスされたり、データが削除されるおそれがある。

ゼロデイ攻撃も発生しており、同社では10月にアドバイザリを公開し、注意を呼びかけていた。またアドビシステムズでは、PDFファイルに不正なリンクを埋め込まれた場合、同脆弱性の影響を受けるため、独自にアップデートを提供している。

同社によると、Windows XPやWindows Server 2003とIE 7以外の組み合わせで同様の脆弱性は確認していないが、今回の脆弱性は、Windowsのシェル処理上の脆弱性に起因していることから、今回のプログラムを適用することで、IE 7以外のアプリケーションで同様の脆弱性が発生した場合にも、影響も押さえることができるという。

一方、深刻度が「重要」とされるプログラムは、「Windows DNS Servers」の脆弱性を解消するもので、「Windows 2000 Server」「Windows Server 2003」向けに提供される。細工した応答をDNSリクエストに送信することで、「なりすまし」を行ったり、インターネットのトラフィックをリダイレクトされる問題を解消する。

また今月同社では、セキュリティ以外の優先度の高い更新プログラムを3件公開した。

2007年11月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-nov.mspx

マイクロソフト
http://www.microsoft.com/japan/

関連記事:Windows XPとIE 7の組み合わせで脆弱性 - MSがパッチを準備中
http://www.security-next.com/006932.html

(Security NEXT - 2007/11/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

AI導入のガバナンス構築やリスク評価を支援 - PwCあらた
JALのBEC被害、ビジネスパーソン認知度は25.4% - 「漫画村」は33.5%
「制御システムセキュリティカンファレンス 2019」が開催 - 船舶業界の取組も紹介
恥ずかし画像詐欺とランサム攻撃が融合 - 「証拠動画」のリンクにワナ
DB管理ツール「phpMyAdmin」に深刻な脆弱性 - 修正版が公開
「Firefox 64」がリリース - 深刻な脆弱性などを修正
MS、2018年最後の月例セキュリティ更新 - 一部脆弱性でゼロデイ攻撃も
「Adobe Acrobat/Reader」、脆弱性87件に対処 - 当初予定より高い重要度
iOS用「ノートン」に新版 - ローカルVPN利用の不正サイト対策など搭載
「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ