MSが6件の月例セキュリティ情報を公開、IEやOfficeの脆弱性に対処
「緊急」レベルの3件のうち、IE用の累積的なセキュリティ更新プログラムについてはMicrosoftが最優先での適用を促している。
米Microsoftは12月8日(日本時間9日)、事前通知の通りに6件の月例セキュリティ情報を公開し、Internet Explorer(IE)とOffice、Windowsに存在する計12件の脆弱性に対処した。
セキュリティ情報6件の内訳は、深刻度が最も高い「緊急」レベルが3件と、2番目に高い「重要」レベルが3件となっている。このうちMicrosoftが最優先で適用を促しているIE用の累積的なセキュリティ更新プログラム「MS09-072」では、事前に情報が公開されていたIE 6とIE 7の脆弱性を含め、5件の脆弱性を修正した。これら脆弱性は、最新版のWindows 7とIE 8の組み合わせでも深刻な影響を受ける(関連記事)。
インターネット認証サービスの脆弱性に対処した「MS09-071」も緊急レベルだが、深刻度が最も高いのはWindows Server 2008 SP2となる。Windows XPやWindows Vistaへの影響は重要〜警告レベルで、Windows 7とWindows Server 2008 R2は影響を受けない。
また、Office Projectの深刻な脆弱性を修正した「MS09-074」は、OfficeソフトのProject 2000 Service Release 1、Project 2002 SP1、Office Project 2003 SP3が対象。脆弱性を突いて細工を施したProjectファイルをユーザーが開くと、リモートでコードを実行される恐れがある。
残る3件のセキュリティ情報は「重要」レベルとなっており、「MS09-069」ではLocal Security Authority Subsystem Service(LSASS)に存在するサービス妨害(DoS)の脆弱性を、「MS09-070」ではActive Directoryフェデレーションサービスの脆弱性をそれぞれ修正した。また、「MS09-073」で対処したワードパッドとOfficeテキストコンバータの脆弱性は、細工を施したWord 97ファイルを使って悪用される可能性が指摘されている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
- 12月のMSパッチは6件、IEの深刻な脆弱性に対処
内訳は「緊急」レベルと「重要」レベルがそれぞれ3件で、WindowsとIE、Officeが対象となる。 - MSがアドバイザリー公開、IE 6と7の脆弱性で回避策
IE 6と7に未修正の脆弱性があることをMicrosoftが確認し、アドバイザリーで回避策などを紹介している。 - IE 6と7に未修正の脆弱性、深刻な影響の恐れ
MicrosoftのInternet Explorer 6と7に深刻な脆弱性が見つかり、エクスプロイトも公開されているという。 - MSが臨時パッチをリリース、Visual StudioとIEの脆弱性を修正
Active Template Library(ATL)の脆弱性は、これを使って開発されたコンポーネントやコントロールに影響する。IE内部でこの問題を突いた攻撃を仕掛けられる恐れがあることも判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.