Microsoftが9件の月例セキュリティ情報を公開、IEなどの深刻な脆弱性に対処

[鈴木聖子，ITmedia]

　米Microsoftは2月14日（日本時間15日）、予告通りに9件の月例セキュリティ情報を公開し、合計21件の脆弱性に対処した。最大深刻度は9件のうち4件が4段階評価で最も高い「緊急」、残る5件は上から2番目の「重要」と分類している。

　緊急レベルの4件のうち、Internet Explorer（IE）用の累積的なセキュリティ更新プログラム（MS12-010）と、Cランタイムライブラリの脆弱性に対処した更新プログラム（MS12-013）の2件については、Microsoftが最優先で適用を勧告している。

　IEの脆弱性は4件あり、IE 9までの全バージョンが深刻な影響を受ける。問題を悪用された場合、細工を施したWebサイトをユーザーが閲覧すると、リモートで任意のコードを実行される恐れがある。

　Cランタイムライブラリの脆弱性は、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2に存在する。攻撃者がユーザーに悪質なメディアファイルを送り付けたり、そうしたファイルを仕込んだWebページを閲覧させたりする手口を使い、リモートから任意のコードを実行できてしまう恐れがある。

　IE、Cランタイムライブラリの脆弱性ともすべて非公開で報告され、現時点で実際に悪用されている形跡はないという。しかし安定した攻撃コードが出現する可能性は高く、できるだけ早期の適用が望ましいとされる。

　一方、「MS12-008」の更新プログラムで対処したWindowsカーネルモードドライバの脆弱性2件のうち1件は12月に発覚し、コンセプト実証コードが公開されていたもの。また、「MS12-016」の.NET FrameworkおよびMicrosoft Silverlightの脆弱性はサポート対象の全Windowsが深刻な影響を受ける。

　残る重要レベルの5件では、Ancillary Functionドライバ、SharePoint、カラーコントロールパネル、Indeoコーデック、Visio Viewer 2010の脆弱性にそれぞれ対処した。このうちカラーコントロールパネルの脆弱性（MS12-012）とIndeoコーデックの脆弱性（MS12-014）については事前に情報が公開されている。