Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、月例セキュリティパッチ7件を公開 - 優先度高は2件、予告から一部変更あり

日本マイクロソフトは、月例セキュリティ更新プログラム7件を公開した。予告通り件数は7件だが、深刻度「重要」のプログラムについて一部内容が変更されている。

120613ms_01.jpg
6月の新規セキュリティ更新プログラム(表:日本マイクロソフト)

今回の更新は、あわせて26件の脆弱性を修正するもので、深刻度が「緊急」にレーティングされているプログラムは3件。

なかでもリモートデスクトップの脆弱性を修復する「MS12-036」と、Internet Explorerの累積した脆弱性に対応する「MS12-037」の2件については、適用優先度を3段階中もっとも高い「1」に設定し、早急に適用するよう同社では呼びかけている。

「MS12-036」は、リモートデスクトッププロトコル(RDP)に存在する脆弱性1件を解消する。RDPは既定でオフだが、オンにしていて攻撃を受けると、リモートでコードを実行されるおそれがある。非公開で報告を受けた脆弱性で、悪用は確認されていないが、攻撃発生時に受ける影響が大きいことから注意が必要。

一方「MS12-037」では、Internet Explorerの脆弱性13件に対応した。細工が施されたウェブサイトへアクセスすると、リモートでコードを実行されるおそれがある。

なかでも「Same IDプロパティ」の脆弱性「CVE-2012-1875」は、非公開で報告されたものだが、すでに標的型攻撃で悪用されている。さらに公開済みの脆弱性「CVE-2012-1882」も含まれており、リモートで攻撃が可能なことから同社では「優先度」を高く設定した。

残る「緊急」の修正プログラムは、「.NET Framework」向けに公開した「MS12-038」。「XAMLブラウザアプリケーション(XBAP)」の処理に不具合があり、細工されたウェブページを開くとリモートでコードを実行される問題を改善している。

残る4件は、いずれも深刻度「重要」にレーティングされているプログラム。

「Lync」の脆弱性を解消した「MS12-039」は、予告外のプログラム。当初6月の定例公開にまにあわないとして同社では予告に含めなかったが、一定の品質を確保できたことから公開に踏み切った。攻撃発生などを理由とする「緊急公開」ではないという。

一方、同社ERPソリューション「Microsoft Dynamics AX」の脆弱性については「MS12-040」で対処。同製品向けの修正パッチは今回がはじめて。「Windows Update」による自動配信は行わず、ダウンロードセンターにて提供する。

さらに「MS12-041」では「Windowsカーネルモードドライバ」の脆弱性5件、「MS12-041」では、「Windowsカーネル」に関する公開済みの脆弱性「CVE-2012-0217」を含む2件の脆弱性へ対応した。いずれも特権の昇格が発生する可能性があるが、悪用するにはローカル環境へログオンする必要がある。

今回公開されたのは以上7件で、当初公開予定だった「Visual Basic for Applications」向けのプログラムは見送りとなった。リリース作業に問題が生じたことから急遽取りやめたもので、同社では「準備が整い次第、適切なタイミングで公開したい」と話している。

(Security NEXT - 2012/06/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware AirWatch Console」のアクセス制御に脆弱性
一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大