Microsoftが12月の月例パッチを公開、IEやOfficeなどの脆弱性を修正

Microsoft(マイクロソフト)株式会社は15日、月例のセキュリティ情報17件とセキュリティ更新プログラム(修正パッチ)を公開しました。
最大深刻度は、4段階で最も高い「緊急」が2件、2番目に高い「重要」が14件、3番目に高い「警告」が1件。また修正パッチにより、Internet ExplorerやOfficeなどに存在する計40件の脆弱性を修正します。

未適応の方はWindows Updateなどですぐにアップデートしましょう。

Windows Update
▲Windows Update


修正内容

参考、引用記事

以上の記事を参考、引用しながら以下にまとめてみました。全部見るのが面倒な方はどうぞ。

緊急

深刻度が「緊急」となっているセキュリティ情報は「MS10-090」と「MS10-091」の2件です。

「MS10-090」

 「MS10-090」は、IEに存在する7件の脆弱性を修正する。対象となるソフトウェアはIE 8/7/6で、現在マイクロソフトがサポートしている全OS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)が影響を受ける。

 7件のうち1件の脆弱性は、マイクロソフトが11月4日にセキュリティアドバイザリを公開していたもので、既に悪用も確認されている。このほか2件の脆弱性についても、修正パッチ提供以前に情報が一般に公開されている。

 「MS10-090」を適用した場合の注意点としては、Windows Live Mailなど一部のメールソフトや、一部のウェブサイトを表示した際に、文字化けが発生する問題が確認されている。マイクロソフトでは、この問題を修正する重要な更新プログラム(KB2467659)も公開しており、ユーザーに対しては合わせてこの更新プログラムも適用することを呼びかけている。

 また、IEについてはCSS処理に関する脆弱性が存在することが明らかになっているが、今回の修正パッチではこの問題に対応していない。マイクロソフトではこの問題について認識しており、対応を進めていくとしている。
( INTERNET Watchより)

「MS10-090」は、「Internet Explorer(IE)」用の累積的なセキュリティ更新プログラムで、「IE 6」「IE 7」「IE 8」に影響を及ぼす脆弱性7件を解決する。Bryant氏によると、「Windows XP」で実行するIE 6を標的とした攻撃がこれまで複数回起きているという。
(ZDNet Japanより)

これらの脆弱性の中で最も深刻な脆弱性が悪用された場合、ユーザーが Internet Explorer を使用して特別に細工された Web ページを表示すると、リモートでコードが実行される可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
(マイクロソフトより)

「MS10-090」で修正される脆弱性は、MicrosoftがサポートしているすべてのOSにインストールされているIEに影響があります。また、適用するとメールソフトやWebサイトが文字化けを起こす可能性があるみたいなので同時に公開されている「KB2467659」も適用して問題を修正しましょう。

すでに悪用も確認されているので適用を怠らないように。

「MS10-091」

「MS10-091」は、OpenTypeフォントドライバーに存在する3件の脆弱性を修正する。対象となるOSはマイクロソフトが現在サポートしている全OS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)だが、Windows XPおよびWindows Server 2003については、脆弱性の最大深刻度が一段低い"重要"とされている。
( INTERNET Watchより)

深刻度が「緊急」となっているもう1件のセキュリティ情報は「MS10-091」で、WindowsのOpenTypeフォント(OTF)ドライバに存在する複数の脆弱性を解決する。Bryant氏によると、MS10-091はWindowsのすべてのバージョンに影響を及ぼし、主にIEとは違ってOTFをネイティブで描画するサードパーティーのブラウザが影響を受けるという。
(ZDNet Japanより)

攻撃者は、特別に細工した OpenType フォント をネットワーク上でホストする可能性があります。 ユーザーが Windows Explorer の共有に移動すると、影響を受けるコントロール パスがトリガーされ、特別に細工されたフォントを許可して影響を受けるシステムを完全に制御する可能性があります。 その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。
(マイクロソフトより)

これらの脆弱性もMicrosoftがサポートしているすべてのOSに影響があります。OpenType フォントはAdobe社とMicrosoft社が共同で開発した次世代の標準フォント・フォーマットです。細工されたフォントを許可する脆弱性で、これによりシステムを攻撃者に乗っ取られる可能性があります。

完全にコンピューターを乗っ取られるのですぐにこれも修正しましょう。適用するとコンピューターは再起動を要求します。作業途中の方は注意してください。

その他

最大深刻度が"重要"のセキュリティ情報14件の内訳は、Windows関連が11件、Office関連が2件、サーバー関連(SharePoint)が1件。最大深刻度が"警告"のセキュリティ情報は、サーバー関連(Exchange)の1件。

このうち、「MS10-092」ではウイルス「Stuxnet」が悪用していたタスクスケジューラに関する脆弱性を修正。「MS10-093」「MS10-094」「MS10-095」「MS10-096」「MS10-097」では、マイクロソフト製品のDLL読み込みに関する脆弱性を修正している。 ( INTERNET Watch )

マイクロソフトのページで詳しいセキュリティ情報が確認できます。以下のページの「セキュリティ情報」にある「概要」や「Exploitability Index (悪用可能性指標)」で確認できます。

マイクロソフト 2010年12月のセキュリティ情報 - マイクロソフト

適用方法

これら脆弱性を修正するパッチの適用は、すべてWindows Updateで行うことができます。コントロールパネルにある「Windows Update」へ行ってすぐにアップデートしましょう。
脆弱性やWindows Updateについては、このサイトでも解説しています。Windows Updateのやり方は「実際にアップデートをしてみる」の「アップデート方法(OS)」で解説しています。

第5回 ソフトウェアの脆弱性を狙ったネットからの攻撃を防ぐ

スポンサーリンク

Track Back

Track Back URL

コメントする

非公開。必須ではありません。

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

サイト内検索

広告

最近のコメント

Powered by Movable Type 6.3.2