今日のリリースは、事前通知でお伝えした 緊急 6 件, 重要 3 件の計 9 件を新規に公開し、MS07-038 を更新しています。
加えて、セキュリティアドバイザリを 1 件公開しました。
まずは、セキュリティ上の脅威から考えてみます。
今月は、セキュリティ情報の公開前に一般に情報が公開されていたり、悪用が確認されている脆弱性はありません。その意味では、純粋に使用しているシステムの環境に併せて、適用計画を立てることができると考えられます。
次に、セキュリティ情報から幾つか抜粋してみます。
MS07-042: XML コア サービスの脆弱性により、リモートでコードが実行される (936227)
このセキュリティ情報は、XML コアサービスと呼ばれる XML をスクリプト言語等で容易に取り扱うためのライブラリで脆弱性対策をしています。セキュリティ情報を一見すると、多くの更新プログラムが存在し、どれを適用するべきなのか、一瞬混乱するかもしれませんが、各 OS 毎に XML コアサービス 3.0, 4.0, 6.0 最大 3 種類の更新プログラムを適用します。加えて、Office System 向けに それぞれ、更新プログラムがあります。各 XML コアサービスがシステムに導入されているかを確認するには、サポート技術情報 (KB) 269238 を参照しつつ、msxml3.dll (3.0), msxml4.dll (4.0), msxml6.dll (6.0) の存在を確認する事で判断できます。
MS07-045: Internet Explorer 用の累積的なセキュリティ更新プログラム (937143)
Internet Explorer の累積的な更新プログラムです。Internet Explorer (IE) 7 を使っている場合は、各脆弱性の影響度が IE 6 に比べると押さえられています。この辺は、IE 7 の開発で適用された SDL や、ActiveX のオプトイン機能の効果ですね。また、今回の更新には、GDR (General Distribution Release) と呼ばれる、一般に公開された(セキュリティ以外の)更新プログラムも幾つか含んでいます。詳細は、セキュリティ情報の警告欄と、KB 937143 を見てください。
MS07-047:Windows Media Player の脆弱性により、リモートでコードが実行される (936782)
警告欄にも記載していますが、今回の Windows Media Player (WMP) の更新を適用した後に、.swf (Flash) を WMP から開くと、Flash Payer を最新のバージョンにするように促すメッセージが表示される可能性があります。この場合は、Flash Player を最新のバージョンにすることで解決可能です。詳しくは、KB 936782と 941197 に記載があります。
MS07-048: Windows ガジェットの脆弱性により、リモートでコードが実行される (938123)
ガジェットに関する脆弱性ですが、ガジェットのシステム全体ではなく、個々のガジェットで脆弱性となります。この脆弱性は、リモートからのコード実行となっていますが、実行に際しガジェットの設定変更や、行っての手順での操作などの諸条件が存在し、攻撃者がユーザーの介在無く悪用できるものではありません。とは言え、条件が揃っている環境では悪用できる可能性がありますので、更新は通常通り適用する事をお勧めします。
MS07-049: Virtual PC および Virtual Server の脆弱性により、特権の昇格が起こる (937986)
Virtual PC (VPC) と Virtual Server (VS) の脆弱性ですが、仮想化ソフトウェアならではの少々特殊な脆弱性だといえます。VPC, VS 共に、一台の PC (ホスト) で、複数の OS(ゲスト)を仮想環境で実行する事ができます。通常、ゲスト間やホストとゲストの間は、仮想化技術で不可侵なものとなっていますが、ゲスト-ゲスト、ゲスト-ホストの境界を越えてコードを実行できる可能性があるのが、今回の脆弱性です。
今回の更新を適用するにあたって、一点注意事項があり KB 937986 にもありますが、リモートデスクトップでホストに接続し、更新適用の作業を行い再起動が必要だった場合に適用に失敗する可能性があります。この現象を回避するには、事前に Virtual Server のサービスを停止するか、リモートデスクトップで接続する場合に、/console (mstsc.exe /console) オプションを使用してコンソール接続することで回避可能です。
MS07-038 (更新)
更新プログラムを改訂して再リリースしています。すでに適用しているユーザーは、再度適用する必要はありません。改訂の理由は、適用環境に、LogFiles\Firewall フォルダが無い場合に、インストールに失敗する可能性あったため、その問題に対処しています。
次は、セキュリティアドバイザリ 932596「カーネル修正の保護を改善する更新プログラム」ですが、脆弱性等々をお伝えするものではなく、セキュリティ機能の改善を行うための更新が適用された事をお伝えするものです。
最後に、今月もセキュリティ情報のストリーミング配信を行います。 午後辺りに公開の予定ですが、今月は若干内容と雰囲気を変えてみたのでお楽しみに。
追記 (2007/08/15 10:30):
MS07-042 に関して、確認するファイル名が違っていたのを訂正