Microsoftが月例パッチを公開、IEとWordは最優先で脆弱性の修正を

7件の月例セキュリティ情報のうち「緊急」は5件。中でもIEとWordの脆弱性に対処した2件については最優先で適用を呼び掛けている。

[鈴木聖子，ITmedia]

　米Microsoftは12月11日（日本時間12日）、予告通りに7件の月例セキュリティ情報を公開した。このうち深刻度が最も高い「緊急」レベルは5件あり、Internet Explorer（IE）、Windows、Word、Exchange Serverの脆弱性を修正している。

　緊急レベルの5件の中でも、Microsoftが最優先で適用を勧告しているのが、IEの脆弱性に対処した更新プログラム（MS12-077）と、Wordの脆弱性に対処した更新プログラム（MS12-079）の2件。

　IEの脆弱性は、IE 10を含む全バージョンが影響を受ける。この問題を突いて細工を施したWebページをユーザーが見ると、リモートでコードを実行される恐れがあるが、事前に脆弱性情報が公開されたり、攻撃が発生した形跡はないという。なお、IE 8までのバージョンについては、「デフォルトの設定で既知の攻撃経路はふさがれている」との理由から、多層防御対策のみのアップデートとなる。

　Wordには1件の深刻な脆弱性があり、細工を施したリッチテキスト形式（RTF）のファイルやメールをユーザーが開いたり、Outlookでプレビューしたりすると、リモートでコードを実行される恐れがある。影響を受けるのは、Office 2003／2007／2010とWord Viewer、Office Compatibility Pack、およびサーバ向けのSharePoint Server 2010 SP1とOffice Web Apps 2010 SP1。一方、Office for Macなどは影響を受けないとされる。

　残る緊急レベルのうち、Windowsカーネルモードの脆弱性（MS12-078）は事前に情報が公開されていたもので、TrueTypまたはOpenTypeフォントファイルを仕込んだ不正な文書やWebページを使って悪用される恐れがある。Windows 8やWindows RTを含むクライアント版の全バージョンが特に深刻な影響を受ける。

　Exchange Serverの更新プログラム（MS12-080）では先に発覚していた「Oracle Outside In」ライブラリの脆弱性に関連する問題などを修正。また、Windowsのファイル操作コンポーネントの脆弱性（MS12-081）は、クライアント版のWindows 7までのバージョンと、サーバ版のWindows Server 2008（R2を除く）までのバージョンが深刻な影響を受ける。

　このほかに「重要」レベルのセキュリティ情報として、DirectPlayのリモートコード実行の脆弱性（MS12-082）と、IP-HTTPSコンポーネントのセキュリティ機能バイパスの脆弱性（MS12-083）に対処した。

　また月例セキュリティ情報とは別に、Adobe Systemsが同日にFlash Playerのセキュリティアップデートを公開したのに合わせて、IE 10に組み込まれたFlash Playerも脆弱性を修正したバージョンへと更新した。この更新版はWindows 8、Windows Server 2012、Windows RT向けにリリースされている。