“Windows Update”

　マイクロソフト（株）は14日、リモートで任意のコードを実行できる脆弱性があるとし、毎月公開される修正プログラムの7月版としてセキュリティ修正プログラムを公開した。現在、同社Webサイト、または“Windows Update”機能を利用して、修正プログラムを無償でダウンロードできる。なお、今回の月例パッチには緊急レベルの脆弱性を修正するプログラムが含まれているため、Windows 98/Meにも提供される。

　今回報告された脆弱性は、緊急レベルが2件、重要レベルが2件であり、いずれもリモートで任意のコードが実行されるというもの。まず、Windows 2000/XPおよびIE 6.0 SP1をインストールしたWindows NT 4.0で、“タスク スケジューラ”機能のアプリケーション名のチェック方法に緊急レベルの脆弱性が存在するため、ユーザーがWebページ・メール経由で細工を施したJOBファイルを受け取ることで任意のコードが実行されるとのこと。

　また、Windows 98/Me/2000/XP/Server 2003およびIE 5.5 SP2/6.0SP1をインストールしたWindows NT 4.0でHTMLヘルプに関する緊急レベルの脆弱性が存在するため、Web上に公開されている悪意あるHTMLヘルプを閲覧しただけで、リモートで任意のコードが実行されるという。

　さらに、Windows 98/Me/NT 4.0/2000/XP/Server 2003で、Windowsシェルがアプリケーションを起動する方法に重要レベルの脆弱性が存在するため、Webページやメールを介して悪意あるプログラムを実行し、リモートで任意のコードを実行できてしまう。

　そのほか、Windows NT 4.0に搭載されているIIS 4.0のURLリダイレクト機能に、バッファオーバーランを引き起こす重要レベルの脆弱性が存在するため、リモートで任意のコードを実行できるとのこと。

□2004 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/security/secinfo.mspx

（中井 浩晶）