2008年4月のセキュリティリリース

小野寺です

今月は、事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。
今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。

特に、MS08-021, MS08-022, MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね。
適用に際してですが、MS08-021(GDI)とMS08-025(Win32)は、アンインストール時に若干の注意が必要な環境があります。この2つの更新には環境によって 同じバージョンのGDI32.dllを更新プログラムに含んでいます。これは、MS08-025で本来変更を入れたかったモジュールとGDI32.dllに以前関係 (Version dipendency)があるためなのです。そのため、MS08-025 をアンインストールすることで、GDI32.dll が古いバージョンに戻る可能性があります。この場合は、MS08-021 (とMS08-025) が再度 Microsoft Updateや自動更新で表示されることになります。

具体的には、以下のような流れです。
  1. MS08-025 をインストール (脆弱な GDI32.dll がバックアップされる)
  2. MS08-021 をインストール (MS08-025 でインストールした gdi32.dll がバックアップされる)
  3. MS08-025 をアンインストール (脆弱な GDI32.dll がリストアされる)

MS08-023 (ActiveX kill bit)は、今回からInternet Explorerと別立てでの提供となります。kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。

今月のセキュリティ情報のストリーミング配信を予定しています。公開次第、Blogでもお知らせします。
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx