MS、月例セキュリティパッチ7件を公開 - 優先度高は2件、予告から一部変更あり

日本マイクロソフトは、月例セキュリティ更新プログラム7件を公開した。予告通り件数は7件だが、深刻度「重要」のプログラムについて一部内容が変更されている。

6月の新規セキュリティ更新プログラム（表：日本マイクロソフト）

今回の更新は、あわせて26件の脆弱性を修正するもので、深刻度が「緊急」にレーティングされているプログラムは3件。

なかでもリモートデスクトップの脆弱性を修復する「MS12-036」と、Internet Explorerの累積した脆弱性に対応する「MS12-037」の2件については、適用優先度を3段階中もっとも高い「1」に設定し、早急に適用するよう同社では呼びかけている。

「MS12-036」は、リモートデスクトッププロトコル（RDP）に存在する脆弱性1件を解消する。RDPは既定でオフだが、オンにしていて攻撃を受けると、リモートでコードを実行されるおそれがある。非公開で報告を受けた脆弱性で、悪用は確認されていないが、攻撃発生時に受ける影響が大きいことから注意が必要。

一方「MS12-037」では、Internet Explorerの脆弱性13件に対応した。細工が施されたウェブサイトへアクセスすると、リモートでコードを実行されるおそれがある。

なかでも「Same IDプロパティ」の脆弱性「CVE-2012-1875」は、非公開で報告されたものだが、すでに標的型攻撃で悪用されている。さらに公開済みの脆弱性「CVE-2012-1882」も含まれており、リモートで攻撃が可能なことから同社では「優先度」を高く設定した。

残る「緊急」の修正プログラムは、「.NET Framework」向けに公開した「MS12-038」。「XAMLブラウザアプリケーション（XBAP）」の処理に不具合があり、細工されたウェブページを開くとリモートでコードを実行される問題を改善している。

残る4件は、いずれも深刻度「重要」にレーティングされているプログラム。

「Lync」の脆弱性を解消した「MS12-039」は、予告外のプログラム。当初6月の定例公開にまにあわないとして同社では予告に含めなかったが、一定の品質を確保できたことから公開に踏み切った。攻撃発生などを理由とする「緊急公開」ではないという。

一方、同社ERPソリューション「Microsoft Dynamics AX」の脆弱性については「MS12-040」で対処。同製品向けの修正パッチは今回がはじめて。「Windows Update」による自動配信は行わず、ダウンロードセンターにて提供する。

さらに「MS12-041」では「Windowsカーネルモードドライバ」の脆弱性5件、「MS12-041」では、「Windowsカーネル」に関する公開済みの脆弱性「CVE-2012-0217」を含む2件の脆弱性へ対応した。いずれも特権の昇格が発生する可能性があるが、悪用するにはローカル環境へログオンする必要がある。

今回公開されたのは以上7件で、当初公開予定だった「Visual Basic for Applications」向けのプログラムは見送りとなった。リリース作業に問題が生じたことから急遽取りやめたもので、同社では「準備が整い次第、適切なタイミングで公開したい」と話している。

（Security NEXT - 2012/06/13 ） ツイート

PR

関連記事

「Ruby」に3件の脆弱性、アップデートで修正を実施
Node.js向けMySQLクライアント「MySQL2」に脆弱性
「GitLab」に複数脆弱性 - セキュリティパッチをリリース
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
「PAN-OS」の脆弱性侵害、段階ごとの対策を説明 - Palo Alto
国内でも被害発生、「ColdFusion」の既知脆弱性狙う攻撃
バッファロー製ルータに脆弱性 - パスワード取得、コマンド実行のおそれ
米政府、悪用が確認された脆弱性3件について注意喚起
「Cisco ASA」「FTD」に複数脆弱性 - ゼロデイ攻撃も発生
「Chrome」にアップデート - 「クリティカル」の脆弱性などを解消