Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、月例セキュリティパッチ7件を公開 - 優先度高は2件、予告から一部変更あり

日本マイクロソフトは、月例セキュリティ更新プログラム7件を公開した。予告通り件数は7件だが、深刻度「重要」のプログラムについて一部内容が変更されている。

120613ms_01.jpg
6月の新規セキュリティ更新プログラム(表:日本マイクロソフト)

今回の更新は、あわせて26件の脆弱性を修正するもので、深刻度が「緊急」にレーティングされているプログラムは3件。

なかでもリモートデスクトップの脆弱性を修復する「MS12-036」と、Internet Explorerの累積した脆弱性に対応する「MS12-037」の2件については、適用優先度を3段階中もっとも高い「1」に設定し、早急に適用するよう同社では呼びかけている。

「MS12-036」は、リモートデスクトッププロトコル(RDP)に存在する脆弱性1件を解消する。RDPは既定でオフだが、オンにしていて攻撃を受けると、リモートでコードを実行されるおそれがある。非公開で報告を受けた脆弱性で、悪用は確認されていないが、攻撃発生時に受ける影響が大きいことから注意が必要。

一方「MS12-037」では、Internet Explorerの脆弱性13件に対応した。細工が施されたウェブサイトへアクセスすると、リモートでコードを実行されるおそれがある。

なかでも「Same IDプロパティ」の脆弱性「CVE-2012-1875」は、非公開で報告されたものだが、すでに標的型攻撃で悪用されている。さらに公開済みの脆弱性「CVE-2012-1882」も含まれており、リモートで攻撃が可能なことから同社では「優先度」を高く設定した。

残る「緊急」の修正プログラムは、「.NET Framework」向けに公開した「MS12-038」。「XAMLブラウザアプリケーション(XBAP)」の処理に不具合があり、細工されたウェブページを開くとリモートでコードを実行される問題を改善している。

残る4件は、いずれも深刻度「重要」にレーティングされているプログラム。

「Lync」の脆弱性を解消した「MS12-039」は、予告外のプログラム。当初6月の定例公開にまにあわないとして同社では予告に含めなかったが、一定の品質を確保できたことから公開に踏み切った。攻撃発生などを理由とする「緊急公開」ではないという。

一方、同社ERPソリューション「Microsoft Dynamics AX」の脆弱性については「MS12-040」で対処。同製品向けの修正パッチは今回がはじめて。「Windows Update」による自動配信は行わず、ダウンロードセンターにて提供する。

さらに「MS12-041」では「Windowsカーネルモードドライバ」の脆弱性5件、「MS12-041」では、「Windowsカーネル」に関する公開済みの脆弱性「CVE-2012-0217」を含む2件の脆弱性へ対応した。いずれも特権の昇格が発生する可能性があるが、悪用するにはローカル環境へログオンする必要がある。

今回公開されたのは以上7件で、当初公開予定だった「Visual Basic for Applications」向けのプログラムは見送りとなった。リリース作業に問題が生じたことから急遽取りやめたもので、同社では「準備が整い次第、適切なタイミングで公開したい」と話している。

(Security NEXT - 2012/06/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
シューズ通販ショップに不正アクセス - クレカ情報流出の可能性
Apple、「iOS 13.4」「iPadOS 13.4」をリリース
ゼロデイ脆弱性、攻撃対象は「Windows 7」 - 「Windows 10」への影響は限定的
「Adobe Creative Cloud」に深刻な脆弱性 - 定例外アップデートが公開
「Windows」に脆弱性、すでにゼロデイ攻撃も - 回避策などの実施を
「PHP」にセキュリティアップデート - 複数脆弱性を修正
「Drupal」にアップデート - サードパーティ製エディタに起因する脆弱性を解消