MS、セキュリティ更新プログラム7件を公開 - 深刻度「緊急」5件含む

日本マイクロソフトは、12月の月例セキュリティ更新プログラム7件を公開し、あわせて12件の脆弱性を修正した。深刻度「緊急」のプログラムは5件。

12月の月例セキュリティ更新プログラム一覧

深刻度が、4段階中もっとも高い「緊急」に設定されているプログラムのうち、適用優先度が高いプログラムは「Internet Explorer」の累積的なセキュリティ更新プログラム「MS12-077」と、「Word」の脆弱性に対応した「MS12-079」の2件。いずれも非公開で報告された脆弱性で、悪用も確認されていない。

「MS12-077」では、IEに関する3件の脆弱性を修正。細工されたウェブページを閲覧し、脆弱性が攻撃を受けた場合、リモートでコードを実行されるおそれがある。

多層防御の観点から、同社ではサポート中のIEすべてに更新プログラムを提供するが、「同10」「同9」のみ脆弱性の影響を受けるという。「同8」以下は、既定の構成でブロックできるとして、深刻度の評価は行われていない。

一方「MS12-079」は、「Word」の脆弱性に対応するパッチ。細工されたRTFファイルを開くとコードを実行される脆弱性に解決した。「Office 2010」や「Office 2007」の「Outlook」では、「Word」がメールリーダに利用されており、プレビュー表示だけで攻撃を受けるおそれがある。

深刻度「緊急」であるのこり3件のプログラムは、適用優先度が1段階低く設定されているものの、早期対応が求められるプログラム。

「MS12-081」では、Windowsファイル操作コンポーネントの脆弱性を修正。「Windows 7」以前に含まれており、ファイル名が細工されたファイルやサブフォルダを開くだけでリモートからコードを実行されるおそれがある。攻撃も容易なため注意が必要な脆弱性となっている。

また「MS12-078」では、カーネルモードドライバにおけるフォント処理の脆弱性、「MS12-080」では、「Microsoft Exchange Server」の問題に対応した。いずれも脆弱性が公開されている。

残る2件の深刻度は、次に高い「重要」にレーティングされている。「MS12-082」では「DirectPlay」、「MS12-083」では「IP-HTTPSコンポーネント」の脆弱性にそれぞれ対応した。

「MS12-083」では、失効した証明書が利用できることから一見危険性が高い脆弱性だが、「IP-HTTPSサーバ」の認証用ドメインから発行された証明書が必要であることと、アカウントを無効化すると、脆弱性が悪用できなくなることから、1段階低い深刻度が設定されている。

（Security NEXT - 2012/12/12 ） ツイート

PR

関連記事

「MS Edge」にアップデート - 「クリティカル」脆弱性を解消
「Cisco IOS XR」にDoSや署名バイパスの脆弱性 - 修正版リリース
「Zoom Workplace」に複数の脆弱性 - 最新版で修正済み
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
デバッグ支援ツール「NVIDIA NVDebug tool」に複数の脆弱性
ネットワーク監視ツール「Stork」に脆弱性 - DoS攻撃のおそれ
GitLab、バグ報奨金プログラムで報告された脆弱性6件を解消
「Adobe Commerce」「Magento」に深刻な脆弱性 - Adobeと外部で温度差
MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応