12月の月例セキュリティ更新プログラムは計7件。IEの脆弱性や、Visual StudioとWindows Mediaの既知の脆弱性に対処している。
米Microsoftは12月12日の月例セキュリティアップデートで、Internet Explorer(IE)やWindows Media Formatの脆弱性に対処する更新プログラムを公開した。最大深刻度は「緊急」が3件、「重要」が4件。事前予告の時点では計6件を予定していたが、直前でWindows Media Playerのパッチが加わった。
緊急レベルのうち、IE用の累積的なセキュリティ更新プログラム(MS06-072)では、スクリプトエラー処理に関するメモリ破損の脆弱性や、DHTMLスクリプト関数に関するメモリ破損の脆弱性など、新たに報告された4件の脆弱性に対処した。悪用されるとコンピュータを完全に制御される恐れがある。
影響を受けるのはWindows 2000 SP4、Windows XP SP2、Windows Server 2003/SP1上で動作するIE 5とIE 6。Windows VistaとIE 7は影響を受けない。
Visual Studio 2005の脆弱性を修正するプログラム(MS06-073)では、Microsoftが10月31日付のアドバイザリーで報告していた問題に対処した。悪用されるとシステムを完全に制御される恐れがあり、この脆弱性を突いた攻撃が多発しているとの報告もある。
Windows Media Formatの脆弱性によりリモートでコードが実行される問題(MS06-078)は、ASFファイルとASXファイルの解析に関して2件の脆弱性が存在する。ASXの脆弱性は12月に入って発覚し、コンセプト実証コードも公開されている。いずれも細工を施したWindows Media Playerコンテンツを使って悪用することができてしまう。
影響を受けるのはWindows 2000 SP4、Windows XP SP2、Windows Server 2003/SP1上で動作するWindows Media Format 7.1〜9.5シリーズランタイムとWindows Media Player 6.4。Windows VistaとMedia Format 11シリーズは影響を受けない。
以上の緊急レベル3件の更新プログラムに加え、重要レベルの4件では、Outlook ExpressやSNMP(Simple Network Management Protocol)などの脆弱性を修正している。
Copyright © ITmedia, Inc. All Rights Reserved.