2008年4月のセキュリティリリース


小野寺です


今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。
今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。


特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。
適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。


具体的には、以下のような流れです。
  1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)
  2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)
  3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる)


MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。


今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx


 


Comments (2)
  1. Anonymous より:

    2008 年 4 月のセキュリティ情報http://www.microsoft

  2. Gan より:

    MS08-023の「問題を緩和する要素」の最後のこの記述について教えてください。

    > しかし、お客様がこの ActiveX コントロールを Internet Explorer の以前のバージョンで使用している場合、お客様が ActiveX のオプトイン機能を使用して明確に許可していなくても、この ActiveX コントロールは Internet Explorer 7 で機能するために有効となっています。

    とありますが、これはどういう場合でしょうか。

    例えば最初からIE7だったPCは関係ないけど、IE6 SP2 だった人が、IE7 に上げた場合には有効になっていてこのセキュリティホールが存在するとか。

    まあ、現時点では自動更新で該当するもの全部をあててしまえば問題は無いのですが。

    (すいません、最初に間違えて3月にコメントしてしまいました。)

Comments are closed.

Skip to main content