Microsoftが7件の月例セキュリティ情報を公開 電子証明書の自動更新機能も

7件のセキュリティ情報のうち、IEなどの脆弱性に対処した3件が「緊急」レベル。信頼できない電子証明書を自動的にチェックする「Automatic Updater」もリリースされた。

[鈴木聖子，ITmedia]

　米Microsoftは6月12日、7件の月例セキュリティ情報を公開し、WindowsやInternet Explorer（IE）などに存在する計26件の脆弱性に対処した。これとは別に、信頼できない電子証明書を自動的にチェックする新機能「Automatic Updater」をWindows VistaとWindows 7向けにリリースした。

　7件のセキュリティ情報の内訳は、Microsoftの4段階評価で深刻度が最も高い「緊急」レベルが3件と、2番目に高い「重要」レベルが4件。特にInternet Explorer（IE）の累積的なセキュリティ更新プログラム（MS12-037）とWindowsのリモートデスクトップの脆弱性に対処した更新プログラム（MS12-036）については最優先で適用を呼び掛けている。

　IEの脆弱性は13件あり、サポート対象の全バージョンが深刻な影響を受ける。このうちの1件については脆弱性の悪用を試みる「限定的な攻撃」の発生が確認されているという。

　リモートデスクトップの脆弱性は、細工を施したRemote Desktop Protocol（RDP）パケットを使い、Webサイトや電子メール経由で悪用される恐れがある。Windows Server 2003／2008とWindows 7、Windows Server 2008 R2が特に深刻な影響を受ける。

　もう1件の「緊急」レベルは.NET Frameworkの脆弱性に対処した更新プログラム（MS12-038）。サポート対象の全Windowsが深刻な影響を受ける。問題を悪用された場合、細工を施したWebページを使ってリモートでコードを実行される恐れがあるほか、.NETアプリケーションを使ってCode Access Security (CAS）の制限をかわされる恐れがある。

　残る「重要」レベルの4件ではLync、Dynamics AXエンタープライズポータル、Windowsカーネルモードドライバ、Windowsカーネルの脆弱性にそれぞれ対処した。悪用された場合、リモートでコードを実行されたり、特権を昇格されたりする恐れが指摘されている。

　一方、月例セキュリティ情報とは別にリリースされた電子証明書の自動更新機能Automatic Updaterでは、電子証明書に関する更新情報を毎日チェックして、失効扱いとなった証明書の有無を確認する。これまでは手動による更新作業が必要だった。OSはWindows Vista SP2、Windows Server 2008 SP2、Windows 7、Windows Server 2008 R2に対応している。