一つは、年末年始に大きな問題となった「WindowsにWMFに関する深刻な脆弱性」に関連する脆弱性で、古いバージョンであるIE5で悪質なプログラムを仕込まれたWMF(Windowsメタファイル画像)ファイルを実行してしまう脆弱性が発表されました。
対象は、「Windows 2000 + IE 5.01 Service Pack(SP)4」と「Windows Me + IE 5.5 SP2」と限定的です。
回避策は、IE6 SP1にアップデートする事。
もう一つは、Windows XP と Windows Server 2003 でアクセス権限に脆弱性があり、低い権限の人でも高い権限の実行が可能になる脆弱性です。問題となるサービスは4つ(UPnP、NetBT、SCardSvr、SSDP)です。
対象は、「Windows XP SP1」と「Windows 2003 SPなし」
回避策は、「Windows XP SP2」や「Windows 2003 SP1」とSP(サービスパック)を充てる事。または、4つのサービスのアクセス権限を手動で変更する事。
- マイクロソフト、Windowsのセキュリティ脆弱性2件を警告 (CNET Japan)
- Microsoft、IE 5に存在するWMFの脆弱性など2件の脆弱性情報を公開 (INTERNET Watch)
- IE 5.xにもWindowsメタファイルのセキュリティ・ホール,パッチは未公開 (IT Pro)
- IE5にパッチ未提供の脆弱性 - WMFファイルの閲覧にまた問題 (MYCOM PC WEB)
- Windowsに権限昇格を許すセキュリティ・ホール,MSはアドバイザリを公開 (IT Pro)
- Windowsに特権昇格の脆弱性 - パッチは未提供 (MYCOM PC WEB)
- Windows ACL に関する脆弱性の可能性について (914457) (Microsoft)
両方とも、基本的にはパッチをリリースしません。むしろ・・・SPの基本はパッチの固まりですので、素直にSPというパッチを充ててくださいという事ですね。
また、IE5は既にサポートが終わっています。(ちなみにIE6 SPなしもサポートが終わっています)
「プロダクト ライフサイクルWindows」では、WinMe + IE5.5では「弊社は、より高度なセキュリティ保護を提供する最新のバージョンの Internet Explorer をインストールすることをお客様に強く推奨します。」と書いている程でした。Microsoftがパッチをリリースする可能性も示唆していますが、なんせ期限切れのIEだけに、脆弱性がこれだけで済むとは限りません。素直にIE6や、OperaやFirefoxにすることをお勧めします。
もう一つのWindows XP や 2003 Server はSPを充ててくださいね!
2003 Serverは一般人は持っていませんし色々と諸事情がありますので何とも言えませんが、一般のWindows XPユーザの人は素直に充てましょう♪ どうしてもSPを充てれない場合は、面倒ですが「scコマンド」を使った回避策がMicrosoftで公開されています。(詳細 → 推奨するアクション → 回避策 → 特定されたサービスに対して変更されたアクセス制御を設定するために sc.exe コマンドを使用する)
今はインターネットに接続するのが当たり前となり、セキュリティに関しては最新の状態で使わないと危険な状況です。
【Microsoftのサポート情報】
プロダクト ライフサイクルWindows (Micorosof):Windows や IEのサポート期限
サポート対象サービス パック (Micorosoft):各製品のSPのサポート期限
プロダクト ライフサイクル (Micorosoft):製品のサポート期限の目安とサポート体勢
【私の記事】
- フリーのウィルス対策とファイアウォール (05/08/04):フリーでも対策できます
- 新しいOSとブラウザにして欲しいかな (05/10/09):古いOSを使い続けてません?
- ウイルスやスパイウェアは多いんです (05/10/13):フリーのウイルス対策やファイアウォールをリストアップ
- 今のネット犯罪はお金です (06/02/07):どうしてセキュリティ?
