セキュリティ雑感

「IE 6とIE 7に危険度「中」の脆弱性」 ITMedia 2008.6.27

ドリッパさんに教えてもらったＩＥ6のセキュリティホールですが。

攻撃者がこれを悪用すると、クロスドメインスクリプティング攻撃が可能になるという。

って、そう言われて「そうか！」と思える人がどれぐらい居るんでしょうね。

で「クロスドメインスクリプティング攻撃」って用語はどこかで解説されているんだろうかと検索してみたら、案の定、知ってて当然って記事が沢山出てきました。

クロスドメイン・スクリプティングは、他のセキュリティドメインにリダイレクトさせ、攻撃前と同じ権限でスクリプトを強制実行する攻撃手法だ。
（「Internet Explorer 7のセキュリティレベルに置いていかれないための基礎知識」）

「攻撃前と同じ権限」って、なんかメリットあるの？　何を言いたいのかさっぱり解りません。

なんとか雰囲気を伝えてくれるのが、たまたま見つけたまっちゃだいふくさんとこ。いや、お名前はかねがね。

クロスドメインスクリプティングが可能で、信頼できないHTMLを入れても警告が出ないそうです。銀行のページに外のページを入れても警告されないって事か。信頼済みドメインに入れられたら、こりゃーこまった。（まっちゃ大福さん）

う～ん、やっぱりそういう事であったか。
実は私も、わかったふりをしていてなんか不安、どう説明したら間違いがなく、かつ普通の人にも判ってもらえるかが判らなかったんです。

やっと問題が解ったので、このセキュリティホールの危険性について考えてみましょう。なんせWindows Update はこの問題をまだ解決してくれないんですから。ムチャクチャ危険だったら、しばらくはインターネットにもつながない方がよい？　もっとも記事に「中程度」とあるのでそれほどでも無いことは解りますが。

問題は、どういう場合にこの危険性に遭遇するのかっていうことです。

【お気に入り】からいつも使っている銀行のサイトを開いたら、表示されるURLはちゃんとその銀行なのに実は入力欄だけ悪人サイトなのでありましたぁ～。

なんてことがある訳ないでしょ。もしもそんなことになるんなら、Windows Update で解決できるまでインターネットは使わない方が良いですね。

大抵は銀行を語ったメールかなんかに、URLが書いてあって、そこにアクセスさせようってんじゃないですかね。ん？　それはクロスサイトスクリプティング？
クロスドメインスクリプティングって説明するのが難しいですねぇ。記事には

Secuniaは対処策として、信頼できないWebサイトにアクセスしないこと、そうしたサイトのリンクをクリックしないことを勧めている。

ってありますが、そりゃそうだけど・・・・。

もうひとつ、ITProの記事もありました。

「IE6にパッチ未公開の脆弱性、Cookieなどを盗まれる危険性あり」　2008/06/27

この記事はクロスドメインスクリプティングの説明をちゃんとやってますね。さすが勝村さん。で、何に気をつければよいのだろう。クロスドメインスクリプティングの嫌らしいところは、それがうまく言いにくいところですね。

という状態で、防衛策として何が出来るんだろう。「IEのセキュリティ設定で「アクティブスクリプト」を無効に」なんて書いてありますから、ＩＥを「高」にすればとりあえず一安心なんでしょうが、それもあれこれ注意事項があるし。

もっとも簡単なのが、IE6を使わないで、IE7に上げてしまうってことでしょうか。どうせそのうちIE7になるんだし。ＩＥ7にだってセキュリティホールはあるけど、IE6よりはずっと少ないです。

ん？　脳脂肪から新着情報が！

JPCERT/CCでは脆弱性分析結果 緊急となっているそうです。

JVNVU#923508　Microsoft Internet Explorer 6 にクロスドメインの脆弱性（緊急）
JVNVU#516627　Microsoft Internet Explorer におけるフレーム間のアクセスを適切に制限できない脆弱性（緊急）

まだ下書きです。というか知り合いにレクチャーを頼まれたので、その原稿。

インターネット接続のリスク

過去のウイルスの時代から、感染は被害者となるだけではなく、それによって加害者になるということ。これは、感染PCからメールなどによりウイルスをまき散らすから、ということもあるがそれだけでは無い。

感染による最終的なリスク

メールウイルスの時代の前半は、犯人は「愉快犯」（アマチュア）だった。だから感染するとすぐに解る。また大量にウイルスメールをばらまく。
しかしそれは数年前より状況が大きく変化しており、犯人は「ビジネス」として真剣に取り組むようになっている。アマチュアからプロに変化した。
「ビジネス」として取り組んでいる以上、感染が知られてはそのPCは利用出来なくなる。従って感染してもそうとは気づかれないようにする。
そうして深く侵攻し、そのPCは犯人の「ビジネス」の手足として利用され続ける。

犯人の「ビジネス」は、もしもそこに金目のものがあれば、それを盗むこと。その中心は「情報」であり、盗まれる方からすれば重大な「情報漏洩」となり、場合によっては盗まれる方の「ビジネス」、場合によっては企業としての存続すら脅かされかねない事態となる。

インターネット接続による感染のリスク

ウイルスの犯人が「愉快犯」からプロの「ビジネス」となった段階では感染PCを作り出す手段は、メールだったが、そのメールによるウイルス拡散、感染PCの拡大は１～２年前よりあまり有効な手段とはならなくなってきた。
これはメールによる自動感染（開いただけで感染するとか）というセキュリティホールが無くなった　Windows やOutLook の浸透が大きい。ウイルス対策ソフトとの競争も犯人にとっては熾烈となり、PCからPCへとのんびり感染を広げるなどという牧歌的な感染手法は犯人のビジネスにとってはコストパフォーマンスが悪くなる。
そこで新種のウイルスを既に感染させて、乗っ取ってあるPC群（ボットネットと言う）から一気にウイルスメールをばらまくことにより、アンチウイルスなどかそれを検知してウイルス検出パターンを各PCに届ける前に仕事を済ませてしまおうというもの。

しかしそれも添付ファイルを開いて貰えなければ、感染にはつながらない。

犯人もプロである以上、より効率のよい方法へシフトして、コストパフォーマンスを上げようとする。
そして現在取られている方法が、ネット上のサイトに侵入してそこにウイルスを仕掛ける方法である。そしてその対象は昔のように怪しげなサイトではなく、極普通の、なるべく人の集まるサイトを狙う。
（今年発見された犯人側のツールには侵入可能なサイトをGoogle Page Rankでチェックし、一定のレベル以上のものを抽出する機能が付いていた）

従って、きちんとした法人のサイトだからといって安全とは言えなくなっている。海外の例では銀行や、マイクロソフト系ニュースサイト、政府関連サイトにまでしかけられている。

そうしたリスクが常に付きまとうため、とくに情報が漏洩しては大変なことになる企業などでは、なるべくリスクに接する機会を少なくする必要がある。

感染したときの被害

1台が陥落すると、そのLAN全体が危機に陥る。

最近準大手のサーバレンタル会社で１台のサーバが感染した。その結果、そのサーバレンタル会社にサイトを置いていたかなりのサイトが、外からアクセスすると表示されたページの中にウイルスが仕込まれていた。しかし、そのサイトのオーナーが自分が借りたサーバをチェックしてもウイルスは出てこない。実は侵入された１台のサーバが、そのLANのインターネットへの出口のルータ（？）のIPアドレスかMACアドレスかを名乗り、LAN上のスイッチに頻繁にそれを通知していた。その結果、WEBサーバが返すパケットは全てそこに送られ、その手先となった１台のサーバは他のサーバが出すパケットを盗聴して、そこでウイルスを付け加えるという加工をしていたらしい。

防衛手段

ウイルス対策ソフト

ウイルス対策ソフトはただの常識であり、入っていなければ話しにならない。
が、入っていればそれだけで安全かというとそうではない。
相手はプロなので武器（ウイルス）の作成を手作りでおこなったりはしない。数年前に比べればものすごい数の新種ウイルスがパラメタの変更だけでどんどん作られてくるし、難読化と言って暗号化に近い手法で、ウイルス対策ソフトの目を欺くことが行われる。

セキュリティホールを塞ぐ

MS製品ならWindows Update の自動化で済みとなるが、その他にもAdobe 関係などMS製品ではないためWindows Update だけでは済まないものもある。

最新バージョンのソフトを使う

Windows Update をやっていても、極希に犯人側が先にセキュリティホールを見つけることがある。これを使われたらWindows Update をやっていてもやられるが、そうしたセキュリティホールは新しい製品、バージョンほど少ない。例えばWindows2000 Office2000 などにはいまだにセキュリティホールが多い。また、同じセキュリティホールでも、Office2000 では「緊急」レベル、しかしOfficeXP や　2003 では「重要」レベルに下がる。この差は危険性では１０倍以上に相当する。
IE6 SP2 よりもIE7 の方が数倍安全である。

人間が危険性を自覚している

知らない相手からのメールの添付ファイルは開かない、なども常識のひとつだが、ブラックビジネスとの攻防戦は既に見たとおり、メールではない。
どこかのサイトを見ているとき「ダウンロードしますか？」「実行しますか？」「ここをクリックして実行してください」と突然出たら絶対に拒否することが現在は中心となる。
前述のOfficeで、XP以降ならそうした確認が出るが、2000 では特別にパッチを当てない限り、確認無しにダウンロード・実行されてしまうというのがもっとも解りやすい古いバージョンの問題点である。
しかし、せっかくバージョンが新しく、ちゃんと確認という形で警告が出ているにも関わらず、人間に注意力が欠落していて「はい」とやってしまえばせっかくの安全弁も元の黙阿弥である。

日本のセキュリティチーム (Japan Security Team)

マイクロソフト、2008年6月の月例パッチを公開--緊急レベルのパッチは3件　ＣＮＥＴ

MS月例パッチが公開、IEやBluetoothの脆弱性に対処　ITmedia

WindowsやIEに危険な脆弱性が3件、無線通信経由で攻撃を受ける恐れも　ITPro

さて、今月のWindows Update ですが、自動更新な方はもはや過去の話です。で、今頃その過去の話を気にする人は、サーバーの運用管理者、私のようなまだ見ぬ将来のゼロディアタックの予測と防衛を考える人だけですね。

で、前者の場合ですが、２日強経って、どこからも不具合情報は聞こえてきません。というか最近、パッチの不具合って聞いたことが無いような。一昔前と比べると格段の品質向上ですね。

次に「将来のゼロディアタックの予測と防衛」の面からですが、正直に言って今回は「考えさせられること」はあまり無い、というか全く無いようにも思います。せいぜいが、IEの累積パッチ「MS08-031［緊急］：Internet Explorer 用の累積的なセキュリティ更新プログラム」から、IE関係のセキュリティホールの回避策には、やはり

ActiveX コントロールおよびアクティブ スクリプトを実行する前にダイアログを表示する（か、実行させない）

なんだなぁ、というぐらい。別に今更な話ですが。ただ、個人的には、今回のMS08-031はActiveX さえ実行させなければ安全なのかという処です。で、私は「ActiveX さえ実行させなければ安全」であって欲しいと思っているのですが。

というのは、勤務先でインターネットゾーン「高」を撤回して、ActiveX は許さないが、スクリプトぐらいなら良いと設定を変えているんです。使いがっての点では、禁欲的なインターネットゾーン「高」と比べて、格段に使い勝手は向上します。もっと具体的にいうと、社員、同僚、上司からの不平不満が聞こえなくなりました。

そういう訳で、今回のこのMS08-031のセキュリティホールで、もしもゼロディアタックがあったとしたら、うちの会社はセーフだったんだろうか、それともアウトだったんだろうかと。どっちなんでしょうねぇ。

今回のWindows Updateには既にセロデイアタックに使用されたセキュリティホール（セキュリティ アドバイザリ：950627)対応が含まれています。この件です。『「Wordファイルを開くと被害の恐れ」――MS製品に新たな脆弱性』ITPro 2008/03/24

MS08-028  緊急　「Microsoft Jet Database Engine の脆弱性により、リモートでコードが実行される (950749)」です。現在知られている悪用は、Wordファイルに仕込んだもののようですので、それ自体はOfficeXP～Office2007までの人には「重要」れべるです。つまり勝手に開かれ、実行されるということはない。「開きますか？」と聞かれて、何の警戒心もなく開いてしまう、ということが無い限り大丈夫です。

とはいえ、それは現在発見されている攻撃手法についてであり、Jetなるものは別にWord用、Officeの一部、ということではないので、Ｏｆｆｉｃｅを持っていない人でも検出されるでしょうし、また塞いでおくべきものです。まあ、ともかく自動更新で全部当てていれば四の五のいうことはないのですが。ＭＳの日本のセキュリティチームBLOGにもMS08-028 のことが出ています。

おっ、ドリッパさんからコメントが、何々？　あっ、忘れてた。

すべてのサポートされているエディションの Windows XP Service Pack 3、Windows Server 2003 Service Pack 2、Windows Vista および Windows Server 2008 を実行しているコンピュータはこの脆弱性の影響を受けません。

Vistaはもちろん、ついこないだ出たXPのSP3に上げた人にはこのセキュリティホールはありません。

他の3件ですか？　内2件は「緊急」ですが、そうは言ってもWord 2000 で緊急なので、例によってそんなもん何の対策もなしに使っている方が悪い！　というのが2件。

あれ？　MS08-026「Microsoft Word の脆弱性により、リモートでコードが実行される (951207)」に異変が！　OfficeXP のOutlook は関係ないのに（または「重要」レベルなのに）安全性は高いはずのOfficw2007の OutLook が「緊急」レベルだって。なんじゃそりゃ！

対象とする2つのセキュリティホールの内、「オブジェクトの解析の脆弱性 - CVE-2008-1091」という方だけですが、なんか裏切られてようで、内心「金返せ！」と思いつつ詳細に見ていくと・・・。まあセオリー通りに「電子メールを経路とする攻撃からコンピュータを保護するために、電子メール メッセージをテキスト形式で読みとる」にしていれば関係ないようです。もちろんそうしています。ホッ。

普通のユーザは、自動更新で全部当ててしまえば細かいことを気にする必要はないのですが。未解決のセキュリティホールはどのような条件の場合に多いのか。将来発見される安全な選択はどういうものなのか。という観点からここでは見ています。

これまでの結論はWindows2000 は止めましょう。IEはさっさと7.0にしてしまいましょう。WindowsXP SP2 もWindows2000 に比べれば危険なセキュリティホールは少ないけど、Vista ならもっと少ないね。Office2000もできれば止めて2007を買うのがベスト。でも財布の都合もあってなかなか思うに任せないというなら「Office ファイルを開くときに確認するツール」をインストールしておきましょう、と言うものです。

ところがさっさとIE7に更新しても、これって逃れられないの？　というのがMS08-023　ActiveX Kill Bit 用のセキュリティ更新プログラム (948881)　です。

MS08-023の「問題を緩和する要素」の最後のこの記述があります。

しかし、お客様がこの ActiveX コントロールを Internet Explorer の以前のバージョンで使用している場合、お客様が ActiveX のオプトイン機能を使用して明確に許可していなくても、この ActiveX コントロールは Internet Explorer 7 で機能するために有効となっています。

とありますが、これはどういう場合でしょうか。
例えば最初からIE7だったPCは関係ないけど、IE6 SP2 だった人が、IE7 に上げた場合には有効になっていてこのセキュリティホールが存在するとか。
まあ、現時点では自動更新で該当するもの全部をあててしまえば問題は無いのですが。

ところでこのMS08-023はActiveX にkill bitを立てる、IEから使えないようにするということで、これまではIEのパッチでした。ところが今回から分類としてはIEではなくなっています。MSの「日本のセキュリティチーム」BLOG によるとこういうことらしいです。

kill bitはInternet Explorerの機能ではありますが、Internet Explorerの脆弱性ではないということや、分けた方が提供が容易かつ、分けても再起動などの適用負荷が増加しない事が理由となります。今回は、Helpに関するコントロールに対処しています。この更新、コントロールの有無に関係なくすべての Windows に配信しています。というのも、コントロールがいつインストールされるかわかりませんので、予防的にkill bitを設定してしまいます。また、Yahooが提供しているコントロールについても、Yahooの要請に基づきkill bit設定を行っています。

まあ、それは妥当かと。

全てOffice関連ですね。（3/15 追記）
相変わらず全て「緊急」レベルとなるのはOffice2000の場合で、Office2003 SP3 では1件、MS08-015だけです。

2000,XP,2003,2007 の4つのバージョンでそれぞれ最新のSPを当てていたとして、今回のWindows Update その実Office Update の件数がどうかるか見ると、まるで絵に描いたような結果に。

ところがおかしなことがひとつ。
会社ではほとんどWindowsXP SP2 Office2003 SP3 （ちょっとバージョンを書き間違えていました）ですから2件しか適用されないはずなんですが、何故か「Microsoft Office Excel 2003 セキュリティ更新プログラム: KB946395」なんてものが降ってきます。　

KB946395なんで、少なくとも今回の更新プログラムには関係ないはず。
名前を見るとMS08-014 ぽいのですが、そのMS08-014のどこにもKB946395の記載はありません。
おまけに、Office2003 SP3にはMS08-014のセキュリティホールは無いはず。
そのうちなんかアナウンスされるんでしょう。・・・と思ったら　お返事を頂いておりました。

GAN さん

ご指摘のKB946395は、MS08-014向けの更新になります。今後 Microsoft Update とセキュリティ情報で何らかの形で整合性はとります。

Office 2003 SP3 向けに更新が適用される件は、セキュリティ情報のFAQにみ記載していますが、ファイルバージョンが、SP3よりも新しいために配信されてしまいます。(ぜい弱性がないことには変りはありません)

「2008年3月のリリースに関する追加情報」も出ました。

全11件、内緊急レベル6件という年度末大決算、放出セールみたいな大盤振る舞いでした。

しかし詳細に見ていくと、緊急レベル6件の内、半分の3件はＯｆｆｉｃｅのものであり、緊急レベルであるのはOffice 2000SP3です。OfficeXP-SP3ではそれは重要に1ランク落ちます。Office2007は勿論、Office2003であっても最新のSP3であれば（自動更新ならそうなります）格下げどころか、今回のセキュリティホールはないということになります。

常にそうなるとは限りませんが、ここでも最大のセキュリティ対策は新しいバージョンを使って自動更新にしておくこと、ということになりますね。

とはいえ、同時に「常にそうなるとは限らない」ことを証明してしまったのはVistaです。

MS08-008　OLE オートメーションの脆弱性により、リモートでコードが実行される(947890)　ではWindows2000 SP4 も　WindowsXP SP2も「緊急」、Windows2003でも「警告」レベルながらも一応セキュリティホールはあったのに対して、Vistaだけはナシ。と、ちょっとは点を稼いだのですが、しかし次の2件についてはVistaであろうが、IE7であろうが「緊急」です。

• MS08-007　WebDAV Mini-Redirector の脆弱性により、リモートでコードが実行される
• MS08-010　Internet Explorer 用の累積的なセキュリティ更新プログラム(944533)

ＩＥについては、MS08-010をよく見ると、含まれている4つのセキュリティホールに対して、IE6SP2では全て「緊急」であるのに対し、IE7だとひとつだけ「重要」に下がっています。もっとも4対3ではたいした差ではないと言えますが。

ということもありますが、とりあえずはVistaでなくとも、WindowsXP であっても入手できるかぎりの最新のバージョンをつかっていれば、そうでないよりはずっと安全ということは今回も言えそうです。もちろんWindows Update が自動更新でメジャーなウイルス対策ソフトが入っていればですが。

2月のMS月例パッチ、IEやOfficeの脆弱性に対処　2008.02.13

そういえばＩＥ7は個人ユーザの場合には今日から降ってくるはずですね。もうＩＥ7にしちゃっているので私は確認のしようがありませんが。とある個人の、セキュリティでもＰＣでもないサイトのアクセスログを見ていたら、先月の平均でIEユーザの内20％がIE7になっているようです。来週以降、それがどう変わるかちょっと楽しみです。

こんな記事がITPro にありました。執筆者はIBM-ISSの研究者。

米マイクロソフトのセキュリティ情報「MS08-001」に対処する難しさ   2008/02/06

ファイアウォールが有効だと，ISSのホストベースの製品による攻撃感知が阻止される。そのため，ユーザーがマルチキャストをブロックするよう特別に設定しない限り，これら攻撃は遮断されない。

ISSのホストベースのIDPは個人ではほとんど使われていないし、私の勤務先でも使ってはいないので、そこを無視するとこうなります。

ファイアウォールが有効だと，・・・ユーザーがマルチキャストをブロックするよう特別に設定しない限り，これら攻撃は遮断されない。

私はルータで蹴っ飛ばしていますので、どのみち問題はないのですが、やはり外側でルータをファイアウォールに使う場合と、それなしにWindowsのデフォルト設定ファイアウォールの場合とは若干違うようです。つまり、危ないのは「具体的に言うと、ルータ、パーソナルファイアウォールを使っていないＰＣだけ」と思っていましたが大変な間違いであったようです。

もっとも、パッチが出ているのですから、Windows Update 自動更新ユーザは別に慌てることはないのですが。

今回の2件のパッチは、「緊急」と「重要」ということになっていますが、常識的な防衛策のとられているPCなら、それほど危険なセキュリティホールではありません。

MS08-001の「Windows TCP/IP の脆弱性により、リモートでコードが実行される (941644)」は、「緊急」レベルですが、外部からのマルチキャストのパケット処理に関するもの。

インターネットからそんなパケットを受け取るようなＰＣはそもそも論外で、やられるのは、WindowsXP SP2なら、「セキュリティセンター」が赤×表示になっているＰＣです。（そんなＰＣはWindows Update以前の問題！）　

具体的に言うと、ルータ、パーソナルファイアウォールを使っていないＰＣだけです。

（ここの部分は私の誤解であったようです。詳細はこちらに追記）

尚、このセキュリティホールは ISS（昨年IBMが吸収合併）の研究チームX Force が発見して、マイクロソフトに報告したらしく、IBM Internet Security Systems の Alex Wheeler 氏および Ryan Smith 氏に対し謝辞が掲載されています。

IBM ISS製品では昨年段階から防御しているらしいです。もっとも企業向けの製品で、この防御が有効（必要）なのは外からのアクセスを受付なければならないWEBサーバとかに、Windowsサーバを使っている場合ですけど。
個人の場合は、外から来るものは全部蹴っ飛ばせばよいだけなので、この手の防御はとっても楽です。

MS08-002の「LSASS の脆弱性により、ローカルで特権が昇格される」 (943485)は、「重要」レベル。
悪用されると「攻撃者により、昇格された特権でコードが実行される可能性が」という恐ろしいものですが、しかし悪用するにはそのＰＣに直にログインしなければなりません。ネット越しにではなくて。インターネットからの脅威という点では、悪用される可能性はとても低いといえるでしょう。

が、いずれにしても、「セキュリティセンター」で合格をもらっていれば、Windows Update も自動更新ですので、放っておけばよいだけです。あとは「今晩シャットダウンするときに、”更新してからシャットダウン”と出ます」ということだけですね。

関連ニュース

• マイクロソフト、12月の月例パッチをリリース--「緊急」は3件　CNET
• 12月のMS月例パッチ、IEやWindows Mediaの脆弱性に対処  ITmedia
• IEやWindowsに危険な脆弱性、修正パッチの適用を  ITpro
• 「パッチ適用でIEがクラッシュ　MSが回避策を公開」　 ITmedia 12/20

MS07-064：緊急

DirectShowの脆弱性により、リモートでコードが実行される（941568）

脆弱性は、識別番号で2件、SAMI ファイル（ CVE-2007-3901）と、WAV ファイル （CVE-2007-3895）の「パラメータの解析を十分に行わないことが原因」としている。バッファオーバーフローかと。

影響をうけるソフトウエアはMicrosoft DirectX の各バージョンだが、プラットフォームにより危険性に差が出るのはいつものこと。Windows 2000 ＳＰ4では識別番号で2件とも「緊急」であるが、Windows XP（SP2)以降は、SAMI ファイルに関わる脆弱性は無く、「緊急」は1件だけになる。　ただし、2003でも、 Vistaでもやはり「緊急」なのは、マルチメディア系の脆弱性の特徴だろうか。次のMS07-068もマルチメディア系だが、Vistaなら大丈夫ということはない。

MS07-068 緊急

Windows Media Format の脆弱性により、リモートでコードが実行される
(941569 および 944275)

Windows Media Format と言われても、どのＰＣが該当するのか、調べるのは困難。おまけにこのパッチ、どうも自動更新できちんと更新されない場合がある。まだどこにも情報が出てこないので、なんとも言えないが。

【追記】：この件、自動更新のＰＣで、翌日に再度自動更新が走り、それで完了した。昔、何度更新しても更新が完了しないことがあったと思うが、今回は2回目で完了。結果的にはたいした問題ではなかったが、でも何でだろう？

このセキュリティホールはIBM X-Force （元ISS X-Force)が発見したらしい。

ビジネスへの影響:
Microsoft Windows Media Player は、Windows XP、Vista、2000、および Server 2003 などのごく最近の Microsoft オペレーティング システムにインストールされているアプリケーションです。この脆弱性は、ユーザー操作を一部要求する場合がありますが、悪用が成功すると、リモートからコードを実行し、場合によってはシステムのセキュリティーを完全に侵害します。Windows Media Player 広く配布されていることと、この脆弱性の影響を鑑みると、この問題が非常に重要であると考える必要があります。（IBM Internet Security Systems プロテクション アドバイザリ ）

MS07-069 緊急

Internet Explorer 用の累積的なセキュリティ更新プログラム (942615)

Windows XP SP2でも、VistaでもIEを使っているかぎり「緊急」レベルのセキュリティホールである。Windows 2003 Server上の IE6 SP1なら、2段階（つまり2桁も）下の危険性「警告」レベルとなる。これはWindows Server 2003 用のＩＥは、「セキュリティ強化の構成」を標準としているからであり、その中身は「ＩＥ高」と同じである。回避策もやはり「ＩＥ高（ActiveX コントロールおよびアクティブ スクリプト） 」

HotFix Report BBSには、この更新を行ったあと「IEが落ちる」との情報も寄せられているが、私の勤務先では、現場からその報告はなかった。

【12/20 追記】　「パッチ適用でIEがクラッシュ　MSが回避策を公開」　だそうです。

その他

尚、レベルが「重要」と、「緊急」よりは下がるのでとりあげなかったが、「MS07-067: Macrovision ドライバの脆弱性により、ローカルで特権が昇格される (944653)」は、セキュリティアドバイザリ 944653「Windows 上の Macrovision SECDRV.SYS ドライバの脆弱性により、特権の昇格が行われる」の脆弱性に対処したものとのこと。