Microsoft、9件のセキュリティ情報を公開 WindowsやIEに深刻な脆弱性

9件のうち5件が「緊急」レベル。中でも3件は最優先で適用を勧告している。併せてRSA 1024ビット未満の暗号鍵をブロックするプログラムの提供も開始した。

» 2012年08月15日 07時11分 公開
[鈴木聖子,ITmedia]

 米Microsoftは8月14日(日本時間15日)、予告通りに9件のセキュリティ情報を公開し、WindowsやInternet Explorer(IE)などに存在する計26件の脆弱性に対処した。

 9件のセキュリティ情報のうち、深刻度がMicrosoftの4段階評価で最も高い「緊急」は5件ある。中でも最優先で適用を勧告しているのが、Windowsコモンコントロールの脆弱性(MS12-060)、IEの脆弱性(MS12-052)、Windowsネットワークコンポーネントの脆弱性(MS12-054)に対処した3件だ。

 MS12-060の脆弱性はOffice、SQL Server、Commerce Server、Host Integration Server、開発者用ツールのVisual FoxPro、Visual Basicが影響を受ける。この脆弱性の悪用を試みる限定的な標的型攻撃の発生が確認されているものの、コンセプト実証コードは公開されていないという。

 MS12-052は、IEの4件の脆弱性に対処する累積的な更新プログラム。IE 9を含むサポート対象の全バージョンに脆弱性が存在し、特にクライアント版のWindowsが深刻な影響を受ける。いずれも現時点で攻撃の発生は確認されていないが、安定した悪用コードが作成される可能性は高いとされる。

 MS12-054では印刷スプーラーおよびリモート管理プロトコル(RAP)に関連したリモートコード実行やサービス妨害(DoS)の脆弱性4件に対処した。Windows XPとWindows Server 2003が特に深刻な影響を受ける。現時点で攻撃の発生は確認されていないという。

 残る緊急レベルの2件のうち、リモートデスクトップの脆弱性(MS12-053)はWindows XPが特に深刻な影響を受ける。また、Exchange Server WebReadyドキュメント表示の脆弱性(MS12-058)はOracleの「Outside In」ライブラリの脆弱性に起因するもので、Microsoftが7月のアドバイザリで注意を呼び掛けていた。更新プログラムでは同ライブラリのアップデートによって問題を修正している。

 一方、「重要」レベルのセキュリティ情報4件では、Windowsカーネルモードドライバ、JScriptおよびVBScriptスクリプトエンジン、Office、Visioの脆弱性にそれぞれ対処した。いずれも細工を施したWebサイトやファイルなどを使ってリモートでコードが実行されたり権限を昇格されたりする可能性が指摘されている。

 また、今回はセキュリティ情報と併せてRSA 1024ビット未満の暗号鍵をブロックするプログラムの提供も開始した。まずはダウンロードセンターとMicrosoft Update Catalogを通じて配布し、企業などがWindows Server Update Services(WSUS)に導入してテストできるようにする。10月からはWindows Update経由で配信を予定している。

関連キーワード

Microsoft | 脆弱性 | 月例パッチ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ