Microsoft、12件の月例セキュリティ情報を公開――IEやWindowsの脆弱性に対処

12件のうち3件が「緊急」レベルとなり、Microsoftは最優先での適用を勧告している。

» 2011年02月09日 08時12分 公開
[鈴木聖子,ITmedia]

 米Microsoftは2月8日、12件の月例セキュリティ情報を公開した。このうち3件が深刻度の最も高い「緊急」レベル、残る9件が「重要」レベルとなる。

 緊急レベルの3件のうち、Internet Explorer(IE)の累積的なセキュリティ更新プログラム(MS11-003)では4件の脆弱性に対処した。特にCSSメモリ破損の脆弱性はMicrosoftが12月にアドバイザリーで注意を呼び掛けていたもので、限定的な攻撃も確認されている。

 Windowsシェルのグラフィック処理に関する脆弱性(MS11-006)も、Microsoftが1月にアドバイザリーを出していたもので、Windows XP/Vista/Server 2003/Server 2008に深刻な影響を及ぼす。ただしこの問題を突いた攻撃は確認していないとしている。

 Windows OpenType Compact Font Format(CFF)ドライバの脆弱性(MS11-007)は非公開で報告された問題となる。サポート対象の全Windowsが影響を受けるが、特にWindows Vista/Windows 7/Server 2008/Server 2008 R2の危険度が高くなっている。

 以上3件について、Microsoftは最優先で更新プログラムを適用して脆弱性を解決するよう勧告している。IEの脆弱性とWindowsシェルの脆弱性については、悪用可能性指標も最も高い「1」となっている。

 一方、重要レベルの9件では、Internet Information Services(IIS)のFTPサービスの脆弱性、Active Directoryの脆弱性、Visioの脆弱性、JScriptおよびVBScriptスクリプトエンジンの脆弱性、Windowsクライアント/サーバランタイムサブシステムの脆弱性、Windowsカーネルの脆弱性、Windowsカーネルモードドライバの脆弱性、Kerberosの脆弱性、Local Security Authority Subsystem Service(LSASS)の脆弱性にそれぞれ対処した。

 このうちIISの脆弱性(MS11-004)についてはコンセプト実証コード(PoC)が出現しており、セキュリティ機関のSANS Internet Storm Centerは最優先で適用を勧告している。また、Active Directoryの脆弱性(MS11-005)、Windowsカーネルの脆弱性(MS11-011)、Kerberosの脆弱性(MS11-013)についても事前に情報が公開されていた。

 また、今月は月例セキュリティ更新プログラムと併せて、マルウェアなどに悪用されているAutorunの動作を変更して悪用されにくくするためのアップデートの配信を開始した。これまで同アップデートはDownload Centerを通じて提供していたが、さらに幅広いユーザーに届けるために、「セキュリティ以外の優先度の高い更新プログラム」としてWindows Update経由で配信することにしたとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ