Microsoft、月例パッチ公開でWindowsやOfficeなどの脆弱性に対処

7件のセキュリティ情報のうち、2件が「緊急」レベルとなっている。一方、攻撃の発生も報告されているIE 6〜8の脆弱性の修正プログラムは盛り込まれなかった。

» 2013年01月09日 07時19分 公開
[鈴木聖子,ITmedia]

 米Microsoftは1月8日、予告通りに7件の月例セキュリティ情報を公開した。深刻度が最も高い「緊急」レベルは2件あり、WindowsとOfficeなどに影響する深刻な脆弱性を修正している。

 同社が最優先で適用を勧告しているのは、XMLコアサービスの脆弱性に対処した更新プログラム(MS13-002)。脆弱性は2件あり、細工を施したWebサイトを使ってリモートで任意のコードを実行される恐れがある。Windows 8とRTを含むクライアント版の全Windowsが特に深刻な影響を受けるほか、Office 2003と2007、Expression Webなどの開発ツール、SharePoint Server 2007などのサーバソフトにも影響が及ぶ。

 もう1件の緊急レベルでは、Windowsプリントスプーラコンポーネントに存在する脆弱性を修正した。プリントサーバが細工を施した印刷ジョブを受信すると、リモートで任意のコードが実行される恐れがある。この問題はWindows 7とWindows Server 2008 R2が影響を受ける。

 残る5件のセキュリティ情報は、深刻度がいずれも上から2番目の「重要」レベルとなっている。System Center Operations Manager、.NET Framework、Windowsカーネルモードドライバ、WindowsのSSLおよびTLS実装、Open Data Protocolの脆弱性にそれぞれ対処した。これら脆弱性は、特権の昇格やセキュリティ機能の迂回、サービス妨害などに悪用される恐れが指摘されている。

 また、月例更新プログラムとは別に、Adobe Systemsが同日、Flash Playerの脆弱性に対処する更新版をリリースしたことを受け、Internet Explorer(IE) 10に組み込まれたFlash Playerも最新版にアップデートした。

 一方、12月に発覚したIE 6〜8の脆弱性に対処する更新プログラムは、今回のセキュリティ情報には盛り込まれなかった。この問題を突いた標的型攻撃の発生も確認されており、Microsoftは当面の措置として、回避策を自動で適用する「Fix it」ツールを公開するとともに、脆弱性の影響を受けないIE 9または10へのアップグレードを促している。

関連キーワード

脆弱性 | Windows | Microsoft | 月例パッチ | Office


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ