Microsoftが2月の月例パッチを12件公開、IEなどの脆弱性を修正

Microsoftは2月9日、月例パッチを12件公開しました。このパッチで修正される脆弱性は22件あり、内容も幅広いものとなっています。

脆弱性の最大深刻度は、4段階で最も高い「緊急」が3件で、2番目に高い「重要」が9件です。

未適応の方はWindows Updateなどですぐにアップデートしましょう。
今回は適用後、パソコンの再起動を求めます。作業途中であった場合は作業データの保存をお忘れ無く。

Windows Update
▲Windows Update


参考、引用記事

以上の記事を参考、引用しながら以下にまとめてみました。全部見るのが面倒な方はどうぞ。ただ、数が多いのでまとめるのは「緊急」レベルの脆弱性のみとさせていただきます。

修正内容

緊急

最大深刻度が緊急となっているセキュリティ更新プログラムは「MS11-003」「MS11-006」「MS11-007」の3件です。

MS11-003

「MS11-003」は、IEに存在する4件の脆弱性を修正する。脆弱性を悪用された場合、特別に細工されたページを表示しただけで、任意のコードを実行させられる危険性がある。マイクロソフトが現在サポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)上で動作するIE 8/7/6が影響を受ける。Windows Server 2008 R2/2008/2003については、脆弱性の深刻度は2段階低い"警告"とされている。
(INTERNET Watchより)

緊急レベルの3件のうち、Internet Explorer(IE)の累積的なセキュリティ更新プログラム(MS11-003)では4件の脆弱性に対処した。特にCSSメモリ破損の脆弱性はMicrosoftが12月にアドバイザリーで注意を呼び掛けていたもので、限定的な攻撃も確認されている。
(エキサイトニュースより)

最初に挙げられている「MS11-003」は、4件の脆弱性を解決するInternet Explorer向けの累積的な更新プログラムだ。これらの脆弱性の中には、「セキュリティアドバイザリ(2488013)」で概要が示されていた、攻撃者にコンピュータを制御される恐れがある厄介なCSSのバグが含まれている。
(ZDNet Japanより)

この脆弱性はMicrosoftがサポートするすべてのOSにインストールされている Internet Explorer 8/7/6 に影響があります。

CSS【Cascading Style Sheets:カスケーディング・スタイル・シート】とは、HTMLやXMLの各要素に対してどのような装飾を施すかを記したものです。このブログでも使用しています。
例えばタイトルを何色で表示するのか、フォントはどうするのか、大きさはどれくらいかなどをここで記してサイト全体のレイアウトを整えます。

今回の脆弱性のひとつに、このCSSが読み込まれたときメモリが破損するというものがあり、すでに攻撃も確認されているようです。CSSはほぼすべてのサイトで使用されているので早急に脆弱性を修正しましょう。

「MS11-006」

「MS11-006」は、Windowsのグラフィック処理に関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたファイルのサムネイルを表示した際に、任意のコードを実行させられる危険性がある。この脆弱性についても既に情報が一般に公開されたとして、1月にセキュリティアドバイザリが公開されていた。影響を受けるOSはWindows Vista/XPおよびWindows Server 2008/2003。
(INTERNET Watchより)

緊急とされた情報の2つ目は、サムネイル画像を使った攻撃に関する脆弱性で、セキュリティ情報「MS11-006」で解決される。これはMicrosoftの「Windows Graphics Rendering Engine」に見つかったセキュリティホールで、特別な細工がされた画像を読み込むことで、攻撃者にコンピュータを制御される恐れがあるというものだった。この問題の影響を受けるのは「Windows XP」「Windows Server 2003」「Windows Vista」および「Windows Server 2008」で、「Windows 7」や「Windows Server 2008 R2」には影響がないとMicrosoftは説明している。
(ZDNet Japanより)

このセキュリティ更新プログラムは 1 件の Windows シェルのグラフィック プロセッサーに存在する一般で公開された脆弱性を解決します。この脆弱性により、特別な細工がされたサムネイル画像をユーザーが表示した場合、リモートでコードが実行される可能性があります。攻撃者がこの脆弱性を悪用した場合、ログオンしたユーザーと同じユーザー権限を取得する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。
(マイクロソフトより)

Windowsのグラフィック処理に関する脆弱性です。特別な細工がされたサムネイル画像を表示した場合、リモートでコードが実行される可能性があります。サムネイル表示だけで脆弱性を突かれるので非常に危険です。攻撃はまだ確認されていないので攻撃される前に修正してしましましょう。

「MS11-007」

「MS11-007」は、OpenType CFF関連の1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたフォントを含むコンテンツを表示した際に、任意のコードを実行させられる危険がある。マイクロソフトが現在サポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)が影響を受ける。ただし、Windows XPおよびWindows Server 2003については、リモート攻撃を受ける可能性が無いため、脆弱性の深刻度は1段階低い"重要"とされている。
(INTERNET Watchより)

このセキュリティ更新プログラムは非公開で報告された Windows OpenType Compact Font Format (CFF) ドライバーに存在する脆弱性を解決します。この脆弱性により、ユーザーが特別に細工された CFF フォントでレンダリングされたコンテンツを表示した場合、リモートでコードが実行される可能性があります。すべての場合において、攻撃者は特別に細工したコンテンツを強制的にユーザーに表示させることはできません。その代わりに、攻撃者はユーザーを攻撃者の Web サイトに訪問させようとします。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージのリンクをクリックさせ、攻撃者の Web サイトへ誘導します。
(マイクロソフトより)

この脆弱性もMicrosoftがサポートするすべてのOSに影響があります。ただし、Windows XPとWindows Server 2003についてはリモートによる操作が行われないため深刻度がひとつ低くなっています。

OpenType フォントはAdobe社とMicrosoft社が共同で開発した次世代の標準フォント・フォーマットです。細工したフォントをレンダリング(画像処理)されているWebサイトへ誘導し、CFFドライバーの脆弱性を突く攻撃が確認されています。誘導方法は電子メールやメッセンジャー メッセージなどにリンクを貼ってそれをクリックさせる手法を用いるようです。

この攻撃は細工されたWebサイトへ行って初めて成功となるものなので、この脆弱性を修正するのはもちろん不審なメールなどは安易に開かず、リンクもクリックしないことが大事です。

重要

最大深刻度が"重要"のセキュリティ情報9件のうち、IISのFTPサービス関連の「MS11-004」、Active Directory関連の「MS11-005」、Windowsカーネル関連の「MS11-011」、Kerberos関連の「MS11-013」の4件については、既に脆弱性情報が一般に公開されていることが確認されている。

このほか、Visio関連の「MS11-008」、JScriptおよびVBScript関連の「MS11-009」、Windowsクライアント/サーバーランタイムサブシステム関連の「MS11-010」、Windowsカーネルモードドライバー関連の「MS11-012」、LSASS関連の「MS11-014」の5件が最大深刻度"重要"のセキュリティ情報として公開されている。
(INTERNET Watchより)

重要のセキュリティ報告は多いので省きます。詳しくはこの記事上部の「参考、引用記事」リンクをどうぞ。

適用方法

これら脆弱性を修正するパッチの適用は、すべてWindows Updateで行うことができます。コントロールパネルにある「Windows Update」へ行ってすぐにアップデートしましょう。
脆弱性やWindows Updateについては、このサイトでも解説しています。Windows Updateのやり方は「実際にアップデートをしてみる」の「アップデート方法(OS)」で解説しています。

第5回 ソフトウェアの脆弱性を狙ったネットからの攻撃を防ぐ

スポンサーリンク

Track Back

Track Back URL

コメントする

非公開。必須ではありません。

(いくつかのHTMLタグ(a, strong, ul, ol, liなど)が使えます)

このページの上部へ

サイト内検索

広告

最近のコメント

Powered by Movable Type 6.3.2