Microsoftが13件の月例セキュリティ情報を公開、「Duqu」に悪用された脆弱性に対処

12月の月例セキュリティ情報は予告よりも1件少ない13件。「Duqu」に悪用されたTrueTypeフォントの脆弱性などに対処した。

[鈴木聖子，ITmedia]

　米Microsoftは12月13日（日本時間14日）、13件の月例セキュリティ情報を公開し、WindowsやOfficeなどの脆弱性に対処した。事前通知では14件の公開を予告していたが、他社アプリケーションとの相互運用性に関する問題が発覚した1件について、今回は公開を見送った。

　13件のセキュリティ情報の内訳は、深刻度が最も高い「緊急」レベルが3件と上から2番目に高い「重要」レベルが10件となる。このうち「MS11-087」の更新プログラムで対処したWindowsカーネルモードドライバの脆弱性は、マルウェアの「Duqu」に悪用されていたことが発覚し、Microsoftが11月にアドバイザリーを出していた。

　この脆弱性はTrueTypeフォントを処理する際の問題に起因する。悪用された場合、攻撃者にカーネルモードでコードを実行される恐れがある。サポート対象の全Windowsが深刻な影響を受けるとされ、Microsoftやセキュリティ機関のSANS Internet Storm Centeでは、MS11-087の更新プログラムを最優先で適用するよう呼び掛けている。

　次いで優先度が高いのはWindows Mediaの脆弱性に対処した「MS11-092」の更新プログラム。こちらの脆弱性は非公開で報告されており、細工を施したDigital Video Recordingファイル（.dvr-ms）を使って悪用される恐れがある。影響を受けるのはWindows XP／Vista／7。一方、サーバ版のWindowsは影響を受けないという。

　残る1件の緊急レベルの更新プログラム「MS11-090」は、非公開で報告されたMicrosoftソフトウェアの脆弱性に対処するもの。脆弱性のあるActiveXコントロールがInternet Explorer（IE）で実行されるのを防ぐため、キルビットの設定で対処した。Windows XPとWindows Server 2003が深刻な影響を受けるほか、サードパーティー4社のActiveXコントロールに対するキルビットも盛り込んだ。

　一方、重要レベルの更新プログラム10件のうち5件はOffice関連となる。このうち「MS11-091」の更新プログラムで対処したPublisher 2003／2007の脆弱性は事前に情報が公開されていた。また、「MS11-096」で対処したExcelの脆弱性については、エクスプロイトコード出現の可能性があるとSANSが伝えている。このほかにIEの累積的なセキュリティアップデート（MS11-099）などが盛り込まれた。

　なお、今回リリースを見送った更新プログラムはSSL／TLS関連の脆弱性に対処する予定だったが、直前になって「大手サードパーティーベンダー」のアプリケーションに関連する相互運用性の問題が発覚したため、この問題を解決した後に公開することにしたという。SSL／TLSの脆弱性についてはMicrosoftの9月27日付のアドバイザリー（2588513）で解説されている。