米Microsoftは7月10日(日本時間11日)、予告通りに9件の月例セキュリティ情報を公開した。既に攻撃が発生しているWindowsの深刻な脆弱性を含め、計16件の脆弱性に対処している。
9件のセキュリティ情報のうち、深刻度がMicrosoftの4段階評価で最も高い「緊急」レベルは3件ある。このうち「XMLコアサービスの脆弱性」(MS12-043)は6月に発覚し、Googleなどが標的型攻撃の発生を確認していた。脆弱性はXML Core Servicesがメモリのオブジェクトを処理する方法に存在し、Windowsの全バージョンと、Office、開発ツールのExpression Web、サーバソフトのSharePoint Server 2007、Groove Server 2007が影響を受ける。攻撃者はこの問題を突いて細工を施したWebサイトをユーザーに閲覧させ、リモートでコードを実行できてしまう恐れがある。
Internet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS12-044)は、非公開で報告された2件の深刻な脆弱性に対処した。脆弱性は最新版のIE 9に存在し、Windows Vista以降のOSが影響を受ける。なお、Microsoftはこれまで2カ月ごとにIEの更新版を公開していたが、今回からは毎月の更新に対応できる態勢を整えたとしている。
また、Microsoft Data Access Componentsの脆弱性(MS12-045)は、特にWindows XP/Vista/7に深刻な影響を及ぼす。IEもこの脆弱性の影響を受ける可能性が指摘されている。脆弱性は非公開で報告され、現時点で攻撃の発生は確認されていないという。
残るセキュリティ情報6件の深刻度はいずれも上から2番目に高い「重要」レベル。Visual Basic for Applications、Windowsカーネルモードドライバ、Windowsシェル、TLS、SharePoint、Office for Macの脆弱性にそれぞれ対処した。
このうちVisual Basic for Applicationsの脆弱性については、「限定的な標的型攻撃」の発生が確認されている。また、Windowsカーネルモードドライバ、TSL、SharePoint、Office for Macの脆弱性も事前に情報が公開されていたものの、現時点で実質的な攻撃の発生には至っていないという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR