米Microsoftは2月9日、事前通知の通りに13件の月例セキュリティ情報を公開し、WindowsとOfficeに存在する計26件の脆弱性に対処した。最大深刻度「緊急」レベルのセキュリティ情報は13件のうち5件で、いずれもWindowsが対象となる。
緊急レベルの5件のうち、Microsoftが最優先で適用を促しているのは「MS10-006」「MS10-007」「MS10-008」「MS10-013」の4件。中でもDirectShowの脆弱性に対処した「MS10-013」は、影響がWindowsの全バージョン(Itaniumベースのサーバ製品を除く)に及び、悪質なAVIファイルを使った攻撃発生の可能性が最も高いと判断した。
「MS10-006」はSMBクライアントの脆弱性を、「MS10-007」はWindows Shellハンドラーの脆弱性をそれぞれ解決するパッチ。悪質なサーバや細工を施したリンクを使って悪用される恐れがあり、いずれも悪用可能性指標は最も高い「1」となっている。
ActiveXのKill Bitの累積的なセキュリティ更新プログラムとなる「MS10-008」では、Microsoft Data AnalyzerのActiveXコントロールに存在する脆弱性を解決。さらに、Symantec、Google、Facebook、Panda Securityの4社が提供するActiveXコントロール用のKill Bitも含まれ、この4社の特定のActiveXコントロールがInternet Explorer(IE)で実行されるのを防止する措置を取った。
残る1件の緊急レベルパッチ「MS10-009」はWindows TCP/IPに関する4件の脆弱性を解決するもので、IPv6が有効になっているコンピュータに細工を施したICMPv6パケットを送りつける形で悪用される可能性がある。悪用可能性指標は1段階低い「2」となっている。
以上の5件とも、脆弱性はすべて非公開でMicrosoftに報告され、現時点でコンセプト実証コードや攻撃コードの出現は確認されていない。
しかしこの5件に加えて注意が必要なのが、既に情報が公開され、Microsoftもアドバイザリーを公開済みのWindowsカーネルの脆弱性に対処した「MS10-015」。深刻度は1段階低い「重要」レベルだが、コンセプト実証コードが出回っている状況から悪用可能性指標が「1」となり、パッチ適用の優先度を引き上げた。ただし現時点でこの問題を突いた実際の攻撃は確認されていないとしている。
一方、Officeが対象となる「MS10-003」と「MS10-004」の2件はいずれも「重要」レベル。「MS10-003」はOffice XP SP3とOffice 2004 for Macの脆弱性を修正し、「MS10-004」ではOffice XP SP3、Office 2003 SP3、Office 2004 for Macに影響するPowerPointの脆弱性6件を修正した。
このほかの更新プログラムは、Windows Server 2008 Hyper-Vの脆弱性、Windowsクライアント/サーバのランタイムサブシステムの脆弱性、SMBサーバの脆弱性、Kerberosの脆弱性にそれぞれ対処した「重要」レベルの4件と、Microsoftペイントの脆弱性に対処した「警告」レベル(4段階の危険度評価で下から2番目)の1件がリリースされた。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR