MSが月例パッチを公開 - ゼロデイ攻撃発生していたURL処理の問題を解消

マイクロソフトは、11月の月例セキュリティ更新プログラムを公開した。当初の予告どおり、深刻度「緊急」「重要」とされるプログラムがそれぞれ1件づつ提供している。

深刻度が「緊急」とされる脆弱性は、Windows XPやWindows Server 2003にInternet Explorer 7をインストールした場合、WindowsのURIの処理に問題が発生するもので、不正に細工したURLを開いた場合、リモートでコードが実行され、パソコン内のデータにアクセスされたり、データが削除されるおそれがある。

ゼロデイ攻撃も発生しており、同社では10月にアドバイザリを公開し、注意を呼びかけていた。またアドビシステムズでは、PDFファイルに不正なリンクを埋め込まれた場合、同脆弱性の影響を受けるため、独自にアップデートを提供している。

同社によると、Windows XPやWindows Server 2003とIE 7以外の組み合わせで同様の脆弱性は確認していないが、今回の脆弱性は、Windowsのシェル処理上の脆弱性に起因していることから、今回のプログラムを適用することで、IE 7以外のアプリケーションで同様の脆弱性が発生した場合にも、影響も押さえることができるという。

一方、深刻度が「重要」とされるプログラムは、「Windows DNS Servers」の脆弱性を解消するもので、「Windows 2000 Server」「Windows Server 2003」向けに提供される。細工した応答をDNSリクエストに送信することで、「なりすまし」を行ったり、インターネットのトラフィックをリダイレクトされる問題を解消する。

また今月同社では、セキュリティ以外の優先度の高い更新プログラムを3件公開した。

2007年11月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-nov.mspx

マイクロソフト
http://www.microsoft.com/japan/

関連記事：Windows XPとIE 7の組み合わせで脆弱性 - MSがパッチを準備中
http://www.security-next.com/006932.html

（Security NEXT - 2007/11/14 ）ツイート

PR

サイトで他会員情報を誤表示、削除依頼メールで誤送信も - 洋菓子通販店
 ECサイトに不正アクセス、クレカ情報流出 - キャンディル子会社
 政府、「次期サイバーセキュリティ戦略」のパブコメ実施
 Oracle、四半期定例パッチを公開 - 脆弱性のべ342件を修正
 IPA、「情報セキュリティ白書2021」を発行 - 無料PDF版も提供予定
 「情報セキュリティ白書2020」が発刊 - 無料のPDF版も用意
 「Windows」に権限昇格のゼロデイ脆弱性 - MSが詳細を調査
 Linuxカーネルにroot権限を取得できる脆弱性 - 1Gバイト超のパス長処理で
 「Citrix ADC」や「Citrix Gateway」に複数脆弱性 - 認証回避のおそれ
 Adobeの複数製品に深刻な脆弱性 - 定例外でパッチ公開