MS、月例セキュリティ更新プログラム9件を公開 - 「緊急」3件は適用優先度も「高」
日本マイクロソフトは、7月の月例セキュリティ更新プログラム9件を公開し、あわせて16件の脆弱性を修正した。そのうち2件は悪用、6件は公開が確認されている。
7月のセキュリティ更新プログラム一覧(日本マイクロソフト)
深刻度が「緊急」に設定されているプログラムは、「MS12-043」「MS12-044」「MS12-045」の3件。いずれもリモートで攻撃を受ける可能性がある脆弱性で、同社は適用優先度を3段階中もっとも高い「1」にレーティングし、早期対応を呼びかけている。
「MS12-043」は、Windowsに含まれる「Microsoft XMLコアサービス(MSXML)」の脆弱性「CVE-2012-1889」を修正するプログラム。「Internet Explorer」で細工されたページを閲覧すると、リモートでコードを実行されるおそれがある。
6月の時点で脆弱性を悪用した標的型攻撃が確認されており、同社ではセキュリティアドバイザリを公開して注意喚起を行うとともに、更新プログラムの開発を進めていた。
脆弱性は「MSXML 3.0」から「同6.0」までいずれも含まれるが、今回のプログラムでは「Office」にて提供される「同5.0」は未対応となっている。「同5.0」向けのプログラムについては、準備ができ次第、アップデートを提供する予定。
一方「MS12-044」は、「Internet Explorer 9」の累積的な脆弱性を修正するプログラムで、2件の不具合に対応した。さらに「MS12-045」で「Microsoft Data Access Components(MDAC)」の脆弱性1件を解決している。
残る6件は深刻度「重要」のプログラム。「MS12-046」は、当初6月の定例パッチとして公開予告が行われたが、品質確保を理由に今回に持ち越された修正パッチで、「Microsoft Visual Basic for Applications(VBA)」の脆弱性に対応する。
同じディレクトリ内にある不正なライブラリファイルを読み込み、コード実行される可能性がある脆弱性「CVE-2012-1854」を修正した。すでに脆弱性の悪用が確認されているという。
「MS12-047」では、カーネルモードドライバの脆弱性により特権の昇格が生じる可能性がある脆弱性に対応。脆弱性は公表されているが、攻撃を成功させるにはローカル環境へログオンし、細工したアプリケーションを実行する必要がある。
またWindowsシェルの脆弱性について「MS12-048」で修正を行った。同脆弱性では、ディレクトリ名に特殊な文字を含むファイルやディレクトリを開いた場合、コードを実行されるおそれがある。
一方「MS12-049」では、情報漏洩が発生する可能性があるCBCモード利用時の「TLSプロトコル」に存在する脆弱性に対応。「MS12-050」は、「SharePoint」において公開1件を含む6件の脆弱性を解消した。細工されたURLをユーザーがクリックした際に特権の昇格が生じる問題を解決している。
さらに「Microsoft Office for Mac」において特権の昇格が発生する脆弱性に対しては「MS12-050」で対処した。同プログラムは、「Microsoft AutoUpdate for Mac」にて適用できる。
(Security NEXT - 2012/07/11 )
ツイート
PR
関連記事
「a-blog cms」に脆弱性、すでに攻撃も - 侵害状況の確認を
「Firefox」にアップデート - Chromeゼロデイの類似脆弱性に対処
「Microsoft Edge」にアップデート - ゼロデイ脆弱性を解消
「Chromium」ベースのブラウザ利用者はアップデート情報へ注意を
「Ghostscript」に複数の深刻な脆弱性 - 最新版で修正
「PowerCMS」に複数脆弱性 - アップデートで修正
「Next.js」脆弱性の概念実証が公開 - 脆弱なサーバを探索する動きも
「CrushFTP」に認証回避の脆弱性 - 早急にアップデートを
「Sitecore CMS」の既知脆弱性を狙う攻撃 - 米当局が注意喚起
Kubernetes「ingress-nginx」に脆弱性 - シークレット漏洩のおそれ
