ニュース

MS、12月の月例パッチは11件、GDI+の脆弱性は修正、XPのゼロデイには未対応

 日本マイクロソフト株式会社は、日本時間の12月11日に公開予定の月例セキュリティ更新プログラム(修正パッチ)に関する事前情報を公開した。公開を予定しているセキュリティ情報は計11件で、脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が6件。

 “緊急”の5件で修正する脆弱性は、いずれもリモートでコードが実行される恐れのあるもの。影響を受けるソフトウェアは、Windows、Internet Explorer、Office、Lync、Exchange。

 “重要”の6件では、リモートでのコード実行、特権昇格、情報漏えい、セキュリティ機能回避の脆弱性を修正する。影響を受けるソフトウェアは、Windows、Office、SharePoint Server、Visual Studio Team Foundation Server、ASP.NET SignalRなど。

 なお、今回の月例パッチでは、米Microsoftが11月5日付のセキュリティアドバイザリ(2896666)で公表していた、 グラフィックコンポーネントの脆弱性修正が含まれるとしている。これは、GDI+の画像ファイル処理に起因するもので、細工を施したTIFF画像ファイルをユーザーに開かせたりすることで、攻撃者がリモードでコードを実行できるというもの。この脆弱性を悪用した標的型攻撃が当初、中東や南アジアの広い範囲で確認されたほか、その後、日本国内の組織に対する標的型攻撃の事例も報告されていた。

 一方、11月27日付のセキュリティアドバイザリ(2914486)で公表した、Windows XP/Windows Server 2003のカーネルにおける特権昇格の脆弱性については、まだ修正パッチを開発中であり、今回の月例パッチには含まれないという。Microsoftでは、同アドバイザリを参照し、回避策の適用を検討するよう呼び掛けている。

(永沢 茂)