ITmedia NEWS > セキュリティ >
ニュース
» 2012年12月12日 07時23分 UPDATE

Microsoftが月例パッチを公開、IEとWordは最優先で脆弱性の修正を

7件の月例セキュリティ情報のうち「緊急」は5件。中でもIEとWordの脆弱性に対処した2件については最優先で適用を呼び掛けている。

[鈴木聖子,ITmedia]

 米Microsoftは12月11日(日本時間12日)、予告通りに7件の月例セキュリティ情報を公開した。このうち深刻度が最も高い「緊急」レベルは5件あり、Internet Explorer(IE)、Windows、Word、Exchange Serverの脆弱性を修正している。

 緊急レベルの5件の中でも、Microsoftが最優先で適用を勧告しているのが、IEの脆弱性に対処した更新プログラム(MS12-077)と、Wordの脆弱性に対処した更新プログラム(MS12-079)の2件。

 IEの脆弱性は、IE 10を含む全バージョンが影響を受ける。この問題を突いて細工を施したWebページをユーザーが見ると、リモートでコードを実行される恐れがあるが、事前に脆弱性情報が公開されたり、攻撃が発生した形跡はないという。なお、IE 8までのバージョンについては、「デフォルトの設定で既知の攻撃経路はふさがれている」との理由から、多層防御対策のみのアップデートとなる。

 Wordには1件の深刻な脆弱性があり、細工を施したリッチテキスト形式(RTF)のファイルやメールをユーザーが開いたり、Outlookでプレビューしたりすると、リモートでコードを実行される恐れがある。影響を受けるのは、Office 2003/2007/2010とWord Viewer、Office Compatibility Pack、およびサーバ向けのSharePoint Server 2010 SP1とOffice Web Apps 2010 SP1。一方、Office for Macなどは影響を受けないとされる。

 残る緊急レベルのうち、Windowsカーネルモードの脆弱性(MS12-078)は事前に情報が公開されていたもので、TrueTypまたはOpenTypeフォントファイルを仕込んだ不正な文書やWebページを使って悪用される恐れがある。Windows 8やWindows RTを含むクライアント版の全バージョンが特に深刻な影響を受ける。

 Exchange Serverの更新プログラム(MS12-080)では先に発覚していた「Oracle Outside In」ライブラリの脆弱性に関連する問題などを修正。また、Windowsのファイル操作コンポーネントの脆弱性(MS12-081)は、クライアント版のWindows 7までのバージョンと、サーバ版のWindows Server 2008(R2を除く)までのバージョンが深刻な影響を受ける。

 このほかに「重要」レベルのセキュリティ情報として、DirectPlayのリモートコード実行の脆弱性(MS12-082)と、IP-HTTPSコンポーネントのセキュリティ機能バイパスの脆弱性(MS12-083)に対処した。

 また月例セキュリティ情報とは別に、Adobe Systemsが同日にFlash Playerのセキュリティアップデートを公開したのに合わせて、IE 10に組み込まれたFlash Playerも脆弱性を修正したバージョンへと更新した。この更新版はWindows 8、Windows Server 2012、Windows RT向けにリリースされている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.