Microsoftが月例セキュリティ情報を公開、IEなどに深刻な脆弱性

12件のセキュリティ情報は「緊急」が5件、「重要」が7件。IEの脆弱性はIE 10も含めた全バージョンが極めて深刻な影響を受ける。

» 2013年02月13日 07時21分 公開
[鈴木聖子,ITmedia]

 米Microsoftは2月12日、予告通りに12件の月例セキュリティ情報を公開し、WindowsやInternet Explorer(IE)の深刻な脆弱性に対処した。

 12件のセキュリティ情報のうち、Microsoftの4段階評価で深刻度が最も高い「緊急」レベルは5件を占める。中でも同社が最優先で適用を勧告しているのは、IEの累積的なセキュリティ更新プログラム(MS13-009)、Vector Markup Language(VML)の脆弱性に対処する更新プログラム(MS13-010)、Object Linking and Embedding(OLE)オートメーションの脆弱性に対処する更新プログラム(MS13-020)の3件だ。

 IEの累積的なセキュリティ更新プログラムでは、計13件の脆弱性を修正した。特にクライアント版はIE 10も含めた全バージョンが極めて深刻な影響を受け、細工を施したWebページをIEで見ると、攻撃者に任意のコードを実行される恐れがある。脆弱性はいずれも非公開で報告され、攻撃の発生は確認されていない。

 また、VMLの実装に起因する脆弱性は、IE 10までの全バージョンがクライアント版、サーバ版ともに極めて深刻な影響を受ける。細工を施したWebページをユーザーがIEで閲覧すると、任意のコードを実行されたり情報が流出したりする恐れがあり、情報流出についてはこの脆弱性を突いた限定的な標的型攻撃が発生しているという。

 OLEオートメーションの脆弱性は、細工を施したファイルを使って悪用される恐れがある。サポート対象のWindowsのうち、Windows XP Service Pack 3(SP3)がこの脆弱性の影響を受けるが、それ以外のWindowsは影響を受けないソフトウェアに分類されている。

 残る緊急レベルの2件で対処したメディア解凍の脆弱性(MS13-011)と、Exchange Serverの脆弱性(MS13-012)は、いずれも既に情報が公開されているものの、攻撃の発生は確認されていないという。

 残る7件のセキュリティ情報は、深刻度がいずれも上から2番目の「重要」レベル。FAST Search Server 2010 for SharePoint、NFS サーバ、.NET Framework、Windowsカーネルモードドライバ、Windowsカーネル、TCP/IP、Windowsクライアント/サーバー ランタイムサブシステム(CSRSS)の脆弱性にそれぞれ対処している。悪用された場合、特権を昇格されたり、サービス妨害攻撃に利用されたりする恐れがある。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ