マイクロソフトの「Black Tuesday」:マイクロソフトExcelとMovie MakerのファイルがWindowsユーザの脅威に 2010年3月9日
マイクロソフトの3月のパッチデーであったが、予想されていたとおり、軽い内容であった。セキュリティに関して、二件の重要告知があり、Officeの一部であるMicrosoft ExcelとMicrosoft Movie Makerのコード実行脆弱性を修正している。この脆弱性では、不正なExcelファイルまたはMovie Makerプロジェクトをダウンロードさせ、アプリケーションで開くことによって、攻撃者は対象ユーザの権限を使って、PC上でコードを実行することができる。多くのWindowsユーザがローカル管理権限でPCを利用しているので、このセキュリティホールを攻撃することによって、PCを完全にコントロールすることが可能になってしまう。
マイクロソフトはこれらの脆弱性を「Important(重要)」と認定しているが、大きなリスクであるということは間違いない。攻撃者はこの脆弱性を悪用し、ユーザのPCを完全に乗っ取ることができる。今回、「Critical(必須)」と認定されなかったのは、これらの攻撃が成功してしまうためには、ユーザのアクション(各アプリケーションでファイルを開く)が必要なためだと思われる。多くの会社ではOfficeを利用しているため、Excelの脆弱性のほうが大きいリスクであると言える。従って、Excel脆弱性のパッチを先に適用することを勧める。また、業務でMovie Makerを使っている会社は多くはないが、そのパッチも至急適用することも勧める。
今回のセキュリティ問題に関しては、マイクロソフトの「Bulletin Summary for March」の表を参照。マイクロソフトの表(重要性順でリストされている)では、今月の情報とパッチに直接リンクされている。サマリーの「Affected Software and Download Location」のセクションを拡張すれば、導入計画に役立つ一覧表が表示される。
LiveSecurityおよびLiveSecurity Informerには、これらの脆弱性と対応方法の詳細を現在作成中のアラートにて連絡する予定である。
Corey Nachreiner, CISSP
【原文】
Microsoft Black Tuesday: Microsoft Excel and Movie Maker Files Threaten Windows Users
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.MS.Mar10.sum
マイクロソフトはこれらの脆弱性を「Important(重要)」と認定しているが、大きなリスクであるということは間違いない。攻撃者はこの脆弱性を悪用し、ユーザのPCを完全に乗っ取ることができる。今回、「Critical(必須)」と認定されなかったのは、これらの攻撃が成功してしまうためには、ユーザのアクション(各アプリケーションでファイルを開く)が必要なためだと思われる。多くの会社ではOfficeを利用しているため、Excelの脆弱性のほうが大きいリスクであると言える。従って、Excel脆弱性のパッチを先に適用することを勧める。また、業務でMovie Makerを使っている会社は多くはないが、そのパッチも至急適用することも勧める。
今回のセキュリティ問題に関しては、マイクロソフトの「Bulletin Summary for March」の表を参照。マイクロソフトの表(重要性順でリストされている)では、今月の情報とパッチに直接リンクされている。サマリーの「Affected Software and Download Location」のセクションを拡張すれば、導入計画に役立つ一覧表が表示される。
LiveSecurityおよびLiveSecurity Informerには、これらの脆弱性と対応方法の詳細を現在作成中のアラートにて連絡する予定である。
Corey Nachreiner, CISSP
【原文】
Microsoft Black Tuesday: Microsoft Excel and Movie Maker Files Threaten Windows Users
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.MS.Mar10.sum