“Microsoft Update”のWebサイト

　マイクロソフト（株）は14日、毎月公開されるセキュリティ修正プログラムの12月版として、修正プログラムと対応する脆弱性情報を公開した。修正プログラムは現在、同社ソフトの更新サービス“Windows Update”や“Microsoft Update”のWebサイトからダウンロードできるほか、Windowsの自動更新機能をONにしておくことで自動的にダウンロードと適用が可能。今月は、IEに関する重要度が4段階中最高の“緊急”レベルの脆弱性と、Windows 2000に関する重要度が上から2番目の“重要”レベルの脆弱性が修正された。

　“緊急”レベルでIE 5.01/5.5/6が対象となる“MS05-054”は、IEがもつ4つの脆弱性からなる。脆弱性の内容は、特別な細工が施されたWebページを表示した際に任意のコードが実行されるというものが3種類と、IEのHTTPSプロキシー接続機能がもつ脆弱性により、HTTPS接続かどうかに関わらず閲覧したWebページのURLが第三者に漏洩する恐れがあるという1種類。Windows 2000/XP/Server 2003用の修正プログラムが公開されている。Windows 98/Meもこれらの脆弱性の影響を受けるが、現在修正プログラムは公開されていない。

　“重要”レベルの“MS05-055”は、Windows 2000のカーネルがもつ脆弱性により、ローカルでログオンしたユーザーの権限が昇格され、本来許可されていない操作が可能となってしまうというもの。現在修正プログラムが公開されているが、適用するにはWindows 2000にSP4が導入されている必要がある。

□Microsoft Security ホーム
http://www.microsoft.com/japan/security/default.mspx

（中村 友次郎）