MS、月例セキュリティパッチ7件を公開 - 優先度高は2件、予告から一部変更あり
日本マイクロソフトは、月例セキュリティ更新プログラム7件を公開した。予告通り件数は7件だが、深刻度「重要」のプログラムについて一部内容が変更されている。
6月の新規セキュリティ更新プログラム(表:日本マイクロソフト)
今回の更新は、あわせて26件の脆弱性を修正するもので、深刻度が「緊急」にレーティングされているプログラムは3件。
なかでもリモートデスクトップの脆弱性を修復する「MS12-036」と、Internet Explorerの累積した脆弱性に対応する「MS12-037」の2件については、適用優先度を3段階中もっとも高い「1」に設定し、早急に適用するよう同社では呼びかけている。
「MS12-036」は、リモートデスクトッププロトコル(RDP)に存在する脆弱性1件を解消する。RDPは既定でオフだが、オンにしていて攻撃を受けると、リモートでコードを実行されるおそれがある。非公開で報告を受けた脆弱性で、悪用は確認されていないが、攻撃発生時に受ける影響が大きいことから注意が必要。
一方「MS12-037」では、Internet Explorerの脆弱性13件に対応した。細工が施されたウェブサイトへアクセスすると、リモートでコードを実行されるおそれがある。
なかでも「Same IDプロパティ」の脆弱性「CVE-2012-1875」は、非公開で報告されたものだが、すでに標的型攻撃で悪用されている。さらに公開済みの脆弱性「CVE-2012-1882」も含まれており、リモートで攻撃が可能なことから同社では「優先度」を高く設定した。
残る「緊急」の修正プログラムは、「.NET Framework」向けに公開した「MS12-038」。「XAMLブラウザアプリケーション(XBAP)」の処理に不具合があり、細工されたウェブページを開くとリモートでコードを実行される問題を改善している。
残る4件は、いずれも深刻度「重要」にレーティングされているプログラム。
「Lync」の脆弱性を解消した「MS12-039」は、予告外のプログラム。当初6月の定例公開にまにあわないとして同社では予告に含めなかったが、一定の品質を確保できたことから公開に踏み切った。攻撃発生などを理由とする「緊急公開」ではないという。
一方、同社ERPソリューション「Microsoft Dynamics AX」の脆弱性については「MS12-040」で対処。同製品向けの修正パッチは今回がはじめて。「Windows Update」による自動配信は行わず、ダウンロードセンターにて提供する。
さらに「MS12-041」では「Windowsカーネルモードドライバ」の脆弱性5件、「MS12-041」では、「Windowsカーネル」に関する公開済みの脆弱性「CVE-2012-0217」を含む2件の脆弱性へ対応した。いずれも特権の昇格が発生する可能性があるが、悪用するにはローカル環境へログオンする必要がある。
今回公開されたのは以上7件で、当初公開予定だった「Visual Basic for Applications」向けのプログラムは見送りとなった。リリース作業に問題が生じたことから急遽取りやめたもので、同社では「準備が整い次第、適切なタイミングで公開したい」と話している。
(Security NEXT - 2012/06/13 )
ツイート
PR
関連記事
「FFmpeg」にダブルフリーの脆弱性 - パッチで修正
IBMの認証管理製品に複数の深刻な脆弱性 - アップデートで修正
TrellixのSIEM製品にRCEなど複数脆弱性
「Apache Arrow」のR言語向けパッケージに深刻な脆弱性
ファイル共有ツール「ProjectSend」の脆弱性 - 多くが未修正、悪用も
Zyxel製ファイアウォールに対する脆弱性攻撃に注意 - ランサムの標的に
「Versa Director」に深刻な脆弱性 - 「DB」の規定パスワードが共通
WordPress向けスパム対策プラグインに複数の脆弱性 - すでに攻撃も
「InfluxDB」に全トークンが取得可能となる脆弱性 - 修正を準備中
「Zabbix」に権限昇格が可能となる深刻な脆弱性 - パッチ適用を