米MicrosoftのMSRC(Microsoft Security Response Center)は10月23日(現地時間)、「Critical(緊急)」にカテゴリされるWindowsの脆弱性「MS08-067」を発表、対象ソフトウェアの利用者に緊急パッチをリリースした。RPCリクエストに関するサーバサービスの問題で、攻撃者はこの脆弱性を利用することで任意のコードをターゲットのマシンに送り込んで実行できる。対象となるOSはWindows 2000/XPとWindows Server 2003。また緊急度は低いが、同様の問題を対処するパッチがWindows VistaとWindows Server 2008用にもリリースされている。
これは2006年8月に出された「MS06-040」をさらに修正するものとなる。未対策のマシンが特定のRPC(Remote Procedure Call)リクエストを受けることで、認証なしに任意のコードを実行してしまう。いわゆるRemote Code Executionを可能にする。攻撃者らはこの性質を利用することで悪意のあるコードをサーバや特定のクライアントに送り込める。脆弱性の詳細についてはMS06-067のナレッジベースで確認できる。
Windows 2000/XPとWindows Server 2003については未認証でRemote Code Executionが可能だが、Windows VistaとWindows Server 2008では認証なしでコードは実行されないため、危険度が「Important」と低く設定されている。またこの脆弱性は、10月末に米カリフォルニア州ロサンゼルスで開催されるPDCで配布予定のWindows 7 Pre-Betaにも含まれていると、Microsoftでは説明する。Windows 7における危険度はVistaと同様の「Important」となっている。
なお対策パッチは上記のページのほか、Windows Updateなどでも提供されている。
