12月のMS月例パッチ公開、既に一部が悪用も緊急6件、重要2件

Microsoftは緊急6件、重要2件のセキュリティ情報を公開。Visual Basicの脆弱性は、問題を悪用した攻撃が既に発生しているという。

» 2008年12月10日 08時11分 公開
[ITmedia]

 米Microsoftは12月9日(日本時間10日)、事前に通知した通り緊急6件、重要2件のセキュリティ情報を公開し、Internet Explorer(IE)やWordなどに存在する多数の脆弱性に対処した。

 緊急レベルの6件は、GDI、Windows Search、IE、Visual Basic、Word、Excelの脆弱性をそれぞれ解決している。

 このうち、Visual Basic 6.0ランタイム拡張ファイルの更新プログラム「MS08-070」では、6件の脆弱性を解決した。「マスク編集コントロールのメモリの破損の脆弱性」については、問題を悪用した「限定的なターゲット型攻撃」が既に発生しているという。影響を受けるのは開発者用ツールのVisual Studio .NET 2002、Visual Studio .NET 2003、Visual FoxPro 8.0、Visual FoxPro 9.0、Office Project 2003、Office Project 2007で、深刻度はすべて緊急となっている。

 GDIの脆弱性2件を解決した「MS08-071」はWindows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008でサポートされている全エディションが対象となる。脆弱性が悪用された場合、細工を施したWMF画像ファイルを使ってリモートでコードを実行される恐れがある。

 Windows Searchの脆弱性2件を解決した「MS08-075」は、特にWindows VistaとWindows Server 2008が深刻な影響を受ける。細工を施した検索ファイルをWindowsエクスプローラーで開いて保存したり、細工を施した検索URLをユーザーがクリックしたりすると、コンピュータを完全に制御される可能性がある。

 IEの累積的な更新プログラム「MS08-073」は4件の脆弱性を解決。WordとOutlook向けの「MS08-072」は8件、Excel向けの「MS08-074」は3件の脆弱性をそれぞれ解決している。

 一方、重要レベルのセキュリティ情報2件では、Microsoft Office SharePoint Serverに関する特権昇格の脆弱性と、Windows Mediaコンポーネントに存在するリモートコード実行の脆弱性に対処した。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.