マイクロソフト、10月の修正パッチ16件を公開、合計49件の脆弱性を修正


 マイクロソフトは13日、月例のセキュリティ情報16件と更新プログラム(修正パッチ)を公開した。セキュリティ情報の最大深刻度は、4段階で最も高い“緊急”が4件、2番目に高い“重要”が10件、3番目に高い“警告”が2件。修正パッチにより、Windows、Internet Explorer(IE)、Office、.NET Frameworkなどに関連する合計49件の脆弱性を修正する。

 最大深刻度が“緊急”のセキュリティ情報は、IE関連の「MS10-071」、Windows Media Player関連の「MS10-075」、Embedded OpenTypeフォント関連の「MS10-076」、.NET Framework関連の「MS10-077」の4件。Exploitability Index(悪用可能性指標)はいずれも最も危険な「1」で、この4件が修正パッチの適用を最優先で検討すべきセキュリティ情報とされている。

 「MS10-071」は、IEに関する10件の脆弱性を修正する。10件中3件の脆弱性については既に情報が一般に公開されており、IE 8/7/6のいずれにも影響がある。

 「MS10-075」は、Windows Media Playerネットワーク共有サービスに関する1件の脆弱性を修正する。この脆弱性については事前に情報は一般に公開されていない。脆弱性が悪用された場合、特別に細工されたRTSPパケットを受信すると、リモートでコードが実行される可能性がある。影響を受けるOSはWindows 7/Vistaで、脆弱性の最大深刻度はWindows 7が“緊急”、Windows Vistaが“重要”となっている。

 「MS10-076」は、Embedded OpenTypeフォントに関する1件の脆弱性を修正する。この脆弱性の情報は事前に一般には公開されていない。脆弱性が悪用された場合、特別に細工されたウェブサイトやOffice文書などを開いた際に、リモートでコードが実行される危険がある。現在マイクロソフトがサポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)に影響があり、脆弱性の最大深刻度もすべてのOSで“緊急”となっている。

 「MS10-077」は、.NET Frameworkに関する1件の脆弱性を修正する。この脆弱性の情報は事前に一般には公開されていない。脆弱性が悪用された場合、特別に細工されたウェブページを閲覧することで、リモートでコードが実行される危険がある。また、サーバーがASP.NETページの処理を許可し、攻撃者が特別に細工したASP.NETページをそのサーバーにアップロードしてページを実行できる場合、この脆弱性により、IISを実行しているサーバー上で、リモートでコードが実行される可能性がある。脆弱性の影響を受けるOSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003だが、64ビット版(およびItanium版)の.NET Framework 4.0環境のみに影響があり、その他の環境には影響が無い。

 このほか、脆弱性の最大深刻度が“重要”のセキュリティ情報は、SharePoint関連の「MS10-072」、Windowsカーネルモードドライバー関連の「MS10-073」、OpenTypeフォント形式ドライバー関連の「MS10-078」、Word関連の「MS10-079」、Excel関連の「MS10-080」、Windowsコモンコントロールライブラリ関連の「MS10-081」、Windows Media Player関連の「MS10-082」、ワードパッド関連の「MS10-083」、Windowsローカルプロシージャーコール関連の「MS10-084」、SChannel関連の「MS10-085」の10件。最大深刻度が“警告”のセキュリティ情報は、Microsoft Foundation Classes関連の「MS10-074」、Windows共有クラスター ディスク関連の「MS10-086」の2件。

 このうち、「MS10-073」では、マルウェア「Stuxnet」での悪用が確認されていた2件の脆弱性のうち1件を修正する。残る1件の脆弱性については、今後の修正パッチで修正を行うとしている。


関連情報

(三柳 英樹)

2010/10/13 11:20