Microsoftが月例パッチを公開、Windows 8やRTにも深刻な脆弱性見つかる

6件のセキュリティ情報のうち、4件が「緊急」レベル。IEやWindowsの深刻な脆弱性に対処している。

» 2012年11月14日 07時22分 公開
[鈴木聖子,ITmedia]

 米Microsoftは11月13日(日本時間14日)、予告通りに6件のセキュリティ情報を公開した。このうち深刻度が最も高い「緊急」レベルは4件あり、10月にリリースされたばかりのWindows 8やWindows RTにも影響する深刻な脆弱性に対処している。

 同社は緊急レベルの4件の中でも、特にInternet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS12-071)と、Windowsカーネルモードドライバの脆弱性に対処する更新プログラム(MS12-075)の2件については、最優先での適用を勧告している。

 IEの更新プログラムは非公開で報告された3件の脆弱性に対処した。悪用された場合、攻撃者が細工を施したWebページをユーザーに閲覧させ、リモートでコードを実行できてしまう恐れがある。この脆弱性は、Windows Vistaや7に搭載されているIE 9が深刻な影響を受ける。一方、IE 10などは影響を受けないとされる。

 Windowsカーネルモードドライバの脆弱性は、Windows 8とWindows RTも含めて、サポート対象のWindowsの全バージョンが深刻な影響を受ける。脆弱性は3件あり、最も深刻なものでは、悪質なTrueTypeフォントを仕込んだWebサイトをユーザーが閲覧すると、攻撃者にリモートでコードを実行される恐れがある。

 残る緊急レベルの2件は、Windowsシェルの脆弱性(MS12-072)と、.NET Frameworkの脆弱性(MS12-074)に対処するもので、いずれも深刻な影響を受けるOSとしてWindows 8が含まれている。Windowsシェルの脆弱性は細工を施したWindowsエクスプローラのブリーフケースによって、.NET Frameworkの脆弱性は悪質なプロキシ自動構成ファイルによって、それぞれ悪用される恐れがある。

 このほかに、Excelに存在する4件の脆弱性(MS12-076)と、インターネットインフォメーションサービス(IIS)の情報流出の脆弱性(MS12-073)に対処する更新プログラムが公開された。Microsoftの4段階評価による深刻度は、Excelの脆弱性が上から2番目の「重要」、IISの脆弱性は下から2番目の「警告」と位置付けている。

 今回のセキュリティ情報で対処した脆弱性は、いずれも現時点で攻撃の発生は確認されていない。ただ、SANS Internet Storm Centerによると、IISの情報流出の脆弱性についてはコンセプト実証コードが存在する可能性があるという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ