米Microsoftは2月14日(日本時間15日)、予告通りに9件の月例セキュリティ情報を公開し、合計21件の脆弱性に対処した。最大深刻度は9件のうち4件が4段階評価で最も高い「緊急」、残る5件は上から2番目の「重要」と分類している。
緊急レベルの4件のうち、Internet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS12-010)と、Cランタイムライブラリの脆弱性に対処した更新プログラム(MS12-013)の2件については、Microsoftが最優先で適用を勧告している。
IEの脆弱性は4件あり、IE 9までの全バージョンが深刻な影響を受ける。問題を悪用された場合、細工を施したWebサイトをユーザーが閲覧すると、リモートで任意のコードを実行される恐れがある。
Cランタイムライブラリの脆弱性は、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2に存在する。攻撃者がユーザーに悪質なメディアファイルを送り付けたり、そうしたファイルを仕込んだWebページを閲覧させたりする手口を使い、リモートから任意のコードを実行できてしまう恐れがある。
IE、Cランタイムライブラリの脆弱性ともすべて非公開で報告され、現時点で実際に悪用されている形跡はないという。しかし安定した攻撃コードが出現する可能性は高く、できるだけ早期の適用が望ましいとされる。
一方、「MS12-008」の更新プログラムで対処したWindowsカーネルモードドライバの脆弱性2件のうち1件は12月に発覚し、コンセプト実証コードが公開されていたもの。また、「MS12-016」の.NET FrameworkおよびMicrosoft Silverlightの脆弱性はサポート対象の全Windowsが深刻な影響を受ける。
残る重要レベルの5件では、Ancillary Functionドライバ、SharePoint、カラーコントロールパネル、Indeoコーデック、Visio Viewer 2010の脆弱性にそれぞれ対処した。このうちカラーコントロールパネルの脆弱性(MS12-012)とIndeoコーデックの脆弱性(MS12-014)については事前に情報が公開されている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR