MSが12月の月例パッチ17件を公開、IEなどの脆弱性を修正


 マイクロソフト株式会社は15日、月例のセキュリティ情報17件とセキュリティ更新プログラム(修正パッチ)を公開した。最大深刻度は、4段階で最も高い“緊急”が2件、2番目に高い“重要”が14件、3番目に高い“警告”が1件。修正パッチにより、Internet Explorer(IE)やOfficeなどに存在する計40件の脆弱性を修正する。

 最大深刻度が“緊急”のセキュリティ情報は、IE関連の脆弱性を修正する「MS10-090」と、OpenTypeフォントドライバーの脆弱性を修正する「MS10-091」の2件。

 「MS10-090」は、IEに存在する7件の脆弱性を修正する。対象となるソフトウェアはIE 8/7/6で、現在マイクロソフトがサポートしている全OS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)が影響を受ける。

 7件のうち1件の脆弱性は、マイクロソフトが11月4日にセキュリティアドバイザリを公開していたもので、既に悪用も確認されている。このほか2件の脆弱性についても、修正パッチ提供以前に情報が一般に公開されている。

 「MS10-090」を適用した場合の注意点としては、Windows Live Mailなど一部のメールソフトや、一部のウェブサイトを表示した際に、文字化けが発生する問題が確認されている。マイクロソフトでは、メールソフトの問題を修正する重要な更新プログラム(KB2467659)を公開しており、ユーザーに対しては合わせてこの更新プログラムも適用することを呼びかけている。また、ウェブページの文字化けについては、リロードすれば正しく表示されることが確認されているという。

 また、IEについてはCSS処理に関する脆弱性が存在することが明らかになっているが、今回の修正パッチではこの問題に対応していない。マイクロソフトではこの問題について認識しており、対応を進めていくとしている。

 「MS10-091」は、OpenTypeフォントドライバーに存在する3件の脆弱性を修正する。対象となるOSはマイクロソフトが現在サポートしている全OS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)だが、Windows XPおよびWindows Server 2003については、脆弱性の最大深刻度が一段低い“重要”とされている。

 最大深刻度が“重要”のセキュリティ情報14件の内訳は、Windows関連が11件、Office関連が2件、サーバー関連(SharePoint)が1件。最大深刻度が“警告”のセキュリティ情報は、サーバー関連(Exchange)の1件。

 このうち、「MS10-092」ではウイルス「Stuxnet」が悪用していたタスクスケジューラに関する脆弱性を修正。「MS10-093」「MS10-094」「MS10-095」「MS10-096」「MS10-097」では、マイクロソフト製品のDLL読み込みに関する脆弱性を修正している。


関連情報

(三柳 英樹)

2010/12/15 13:21