小野寺です
今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急 5 件, 重要 3 件)を公開しました。
今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。
特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発している Web サイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。
適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この 2 つの更新には環境によって 同じバージョンの GDI32.dll を更新プログラムに含んでいます。これは、MS08-025 で本来変更を入れたかったモジュールと GDI32.dll に以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (と MS08-025) が再度 Microsoft Update や自動更新で表示されることになります。
具体的には、以下のような流れです。
- MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)
- MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)
- MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる)
MS08-023 (ActiveX kill bit)は、今回から Internet Explorer と別立てでの提供となります。kill bit は Internet Explorer の機能ではありますが、Internet Explorer の脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Help に関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的に kill bit を設定してしまいます。また、Yahoo が提供しているコントロールについても、Yahoo の要請に基づき kill bit 設定を行っています。
今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blog でもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx