Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、「緊急」3件含む7件の月例パッチを公開 - 23件の脆弱性を修正

日本マイクロソフトは、深刻度「緊急」3件を含む7件の月例セキュリティ更新プログラムを公開した。今回の更新で、あわせて23件の脆弱性を修正している。

深刻度が「緊急」とされるプログラム3件のなかでも、同社が適用優先度を3段階中もっとも高い「1」に設定したプログラムは、「MS12-034」「MS12-029」の2件。

「MS12-034」では、公開済み3件と未公開7件のあわせて10件の脆弱性に対応した。脆弱性は、「Windows」「Office」「.NET Framework」「Silverlight」など幅広いソフトウェアに含まれており、不正な文書ファイルを開いたり、細工されたフォントが埋め込まれたウェブサイトを開くと、リモートでコードを実行される可能性がある。

また「Silverlight」については、同プログラムの起動時にアップデートを促すとしており、重複を避けるために「Windows Update」ではデフォルトで配信しない。「Windows Update」によりアップデートを行うには設定を変更する必要があるので注意が必要。

一方「MS12-029」は、「Office」の脆弱性を解消するプログラム。「Office」で深刻な脆弱性が発見されるケースは減少しており、深刻度が「緊急」とされるプログラムは、2010年11月に公開された「MS10-087」以来17カ月ぶり。

同プログラムでは、「RTFファイル」を処理する際にリモートでコード実行されるおそれがある不具合を解消する。「Office 2007」において、「Outlook」のメールリーダーが「Word」だったことから、今回「緊急」にレーティングされた。「同2003」や「Mac版」は1段階低い深刻度「重要」で、最新版となる「Office 2010」は影響を受けない。

残る深刻度「緊急」の「MS12-035」は、「.NET Framework」における2件の脆弱性を解決するプログラム。「XAMLブラウザーアプリケーション(XBAP)」を実行するブラウザで、細工されたウェブページを表示するとリモートでコードを実行される可能性がある。

そのほか4件は、いずれも深刻度「重要」のプログラム。「MS12-030」では、Officeコンポーネントの脆弱性に対処。攻撃を受ける可能性があるのは「Excel」のみで、細工されたファイルを開くとコードを実行されるおそれがある。

攻撃を完全に防ぐものではないが、緩和策として「MOICE(Microsoft Office Isolated Conversion Environment)」の利用を同社は推奨している。また「同2010」では、「保護されたビュー」で閲覧する場合には影響を受けない。一方「MS12-031」は、特別に細工された「Visioファイルを」ユーザーが開いた場合にリモートでコードが実行される問題に対応した。

さらに「MS12-032」では「TCP/IP」の脆弱性、「MS12-033」では「Windows Partition Manager」の脆弱性に対応。いずれも悪用されると特権の昇格が発生するが、攻撃するには、システムにログインして特殊なプログラムを実行する必要がある。

ただし、「MS12-032」については、悪用することでWindowsのファイアウォールを停止できるため、他攻撃の前準備として活用されるおそれもあるという。

(Security NEXT - 2012/05/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Adobe Acrobat/Reader」に6件の脆弱性 - アップデートで修正
Ivantiのリモートアクセス製品に複数脆弱性 - 「クリティカル」も
MS、2024年最後の月例パッチを公開 - ゼロデイ脆弱性も修正
米当局、「Windows」に判明したゼロデイ脆弱性に注意喚起
「Ivanti CSA」に深刻な脆弱性 - 管理者権限を奪われるおそれ
「Dell PowerFlex」など複数製品に深刻な脆弱性 - アップデートを公開
「Chrome」にセキュリティアップデート - 複数の脆弱性を解消
QNAP製NAS向け複数アプリに脆弱性 - アップデートで修正
トレンドマイクロのサーバ向けセキュリティ対策製品に脆弱性
「OpenWrt」で汚染されたビルドが配布可能となる脆弱性