12月のMS月例パッチ公開、既に一部が悪用も：緊急6件、重要2件

[ITmedia]

　米Microsoftは12月9日（日本時間10日）、事前に通知した通り緊急6件、重要2件のセキュリティ情報を公開し、Internet Explorer（IE）やWordなどに存在する多数の脆弱性に対処した。

　緊急レベルの6件は、GDI、Windows Search、IE、Visual Basic、Word、Excelの脆弱性をそれぞれ解決している。

　このうち、Visual Basic 6.0ランタイム拡張ファイルの更新プログラム「MS08-070」では、6件の脆弱性を解決した。「マスク編集コントロールのメモリの破損の脆弱性」については、問題を悪用した「限定的なターゲット型攻撃」が既に発生しているという。影響を受けるのは開発者用ツールのVisual Studio .NET 2002、Visual Studio .NET 2003、Visual FoxPro 8.0、Visual FoxPro 9.0、Office Project 2003、Office Project 2007で、深刻度はすべて緊急となっている。

　GDIの脆弱性2件を解決した「MS08-071」はWindows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008でサポートされている全エディションが対象となる。脆弱性が悪用された場合、細工を施したWMF画像ファイルを使ってリモートでコードを実行される恐れがある。

　Windows Searchの脆弱性2件を解決した「MS08-075」は、特にWindows VistaとWindows Server 2008が深刻な影響を受ける。細工を施した検索ファイルをWindowsエクスプローラーで開いて保存したり、細工を施した検索URLをユーザーがクリックしたりすると、コンピュータを完全に制御される可能性がある。

　IEの累積的な更新プログラム「MS08-073」は4件の脆弱性を解決。WordとOutlook向けの「MS08-072」は8件、Excel向けの「MS08-074」は3件の脆弱性をそれぞれ解決している。

　一方、重要レベルのセキュリティ情報2件では、Microsoft Office SharePoint Serverに関する特権昇格の脆弱性と、Windows Mediaコンポーネントに存在するリモートコード実行の脆弱性に対処した。

過去のセキュリティニュース一覧はこちら