MS、月例セキュリティ更新プログラム9件を公開 - 「緊急」3件は適用優先度も「高」
日本マイクロソフトは、7月の月例セキュリティ更新プログラム9件を公開し、あわせて16件の脆弱性を修正した。そのうち2件は悪用、6件は公開が確認されている。
7月のセキュリティ更新プログラム一覧(日本マイクロソフト)
深刻度が「緊急」に設定されているプログラムは、「MS12-043」「MS12-044」「MS12-045」の3件。いずれもリモートで攻撃を受ける可能性がある脆弱性で、同社は適用優先度を3段階中もっとも高い「1」にレーティングし、早期対応を呼びかけている。
「MS12-043」は、Windowsに含まれる「Microsoft XMLコアサービス(MSXML)」の脆弱性「CVE-2012-1889」を修正するプログラム。「Internet Explorer」で細工されたページを閲覧すると、リモートでコードを実行されるおそれがある。
6月の時点で脆弱性を悪用した標的型攻撃が確認されており、同社ではセキュリティアドバイザリを公開して注意喚起を行うとともに、更新プログラムの開発を進めていた。
脆弱性は「MSXML 3.0」から「同6.0」までいずれも含まれるが、今回のプログラムでは「Office」にて提供される「同5.0」は未対応となっている。「同5.0」向けのプログラムについては、準備ができ次第、アップデートを提供する予定。
一方「MS12-044」は、「Internet Explorer 9」の累積的な脆弱性を修正するプログラムで、2件の不具合に対応した。さらに「MS12-045」で「Microsoft Data Access Components(MDAC)」の脆弱性1件を解決している。
残る6件は深刻度「重要」のプログラム。「MS12-046」は、当初6月の定例パッチとして公開予告が行われたが、品質確保を理由に今回に持ち越された修正パッチで、「Microsoft Visual Basic for Applications(VBA)」の脆弱性に対応する。
同じディレクトリ内にある不正なライブラリファイルを読み込み、コード実行される可能性がある脆弱性「CVE-2012-1854」を修正した。すでに脆弱性の悪用が確認されているという。
「MS12-047」では、カーネルモードドライバの脆弱性により特権の昇格が生じる可能性がある脆弱性に対応。脆弱性は公表されているが、攻撃を成功させるにはローカル環境へログオンし、細工したアプリケーションを実行する必要がある。
またWindowsシェルの脆弱性について「MS12-048」で修正を行った。同脆弱性では、ディレクトリ名に特殊な文字を含むファイルやディレクトリを開いた場合、コードを実行されるおそれがある。
一方「MS12-049」では、情報漏洩が発生する可能性があるCBCモード利用時の「TLSプロトコル」に存在する脆弱性に対応。「MS12-050」は、「SharePoint」において公開1件を含む6件の脆弱性を解消した。細工されたURLをユーザーがクリックした際に特権の昇格が生じる問題を解決している。
さらに「Microsoft Office for Mac」において特権の昇格が発生する脆弱性に対しては「MS12-050」で対処した。同プログラムは、「Microsoft AutoUpdate for Mac」にて適用できる。
(Security NEXT - 2012/07/11 )
ツイート
PR
関連記事
「NVIDIA License System」に脆弱性 - 情報漏洩やDoSのおそれ
Kubernetesの「gitRepoボリューム」に脆弱性 - アップデートで修正
危険な脆弱性タイプのランキング - CSRFやコード挿入が上昇
米当局、AppleやOracleの脆弱性悪用に注意喚起
「Adobe InDesign」に定例外パッチ - ただし適用優先度は低
「くら寿司 公式アプリ」Android版に脆弱性 - 暗号鍵をハードコード
Fortraのセキュリティ製品、暗号化バイパスの脆弱性を修正
「Wget」非推奨機能に起因する脆弱性、アップデートで削除
「PostgreSQL」にアップデート、脆弱性を修正 - 「同12」はサポート終了へ
「VMware vCenter Server」脆弱性の悪用に注意喚起 - 米当局