Microsoftが11月の月例パッチと、Office製品に存在する脆弱性の修正パッチ公開


Microsoft(マイクロソフト)株式会社は10日、月例のセキュリティ情報3件と更新プログラム(修正パッチ)を公開しました。最大深刻度は、4段階で最も高い”緊急”が1件、2番目に高い”重要”が2件です。

今回の修正パッチでは、Office製品に存在する脆弱性なども含めて合計11件の脆弱性を修正します。

Microsoft 11月の月例パッチ

Office更新プログラム(MS10-087)では、以前から危険性が指摘されていたDLL読み込みの脆弱性を含め、合計5件の脆弱性を修正しています。DLL読み込みの脆弱性は以下のサイトで詳しく解説されています。

WindowsのDLL読み込みの脆弱性発覚、Microsoftがアドバイザリー公開IT総合情報ポータル「ITmedia」

Officeで最も深刻な脆弱性であるRTFのスタックバッファオーバーフロー問題は、細工されたリッチテキスト形式(RTF)のメールメッセージをOutlookで開いたり、プレビューしたりすると、第三者にリモートでコードを実行される恐れがあるもの。今回はこれも修正されました。コードは「MS10-087」。

この問題の影響を受ける製品は、Office 2010/2007 SP2/2003 SP3/XP SP3、Office for Mac 2011、Office 2008 for Mac、Office 2004 for Mac、Open XML File Format Converter for Macです。この中で深刻度が”緊急”なのはOffice 2010/2007 SP2、その他は1段低い”重要”となっています。

ただし、Office 2008 for Mac、Office 2004 for Mac、Open XML File Format Converter for Macの修正パッチについては開発中で、現時点では公開されていません。

PowerPointに関する二件の脆弱性は、特別に細工されたPowerPointファイルをユーザーが開いた場合、リモートでコードが実行される可能性があるもの。「MS10-088」で修正されます。
影響を受ける製品は、Office 2003 SP3/XP SP3、Office 2004 for Mac、PowerPoint Viewer。また、これもOffice 2004 for Macに関しては開発中らしくダウンロードはできません。

因みにPowerPoint 2003で生成されるファイルの拡張子は「.ppt」や「.pps」で、PowerPoint 2007以降はそれに「x」が付いた「.pptx」や「.ppsx」となっています。

リモートアクセスソフト、Forefront Unified Access Gateway(UAG)に関する4件の脆弱性のうち、最も深刻なものは、特別に細工されたURLを使用したWebサイトを訪問した場合に、特権が昇格される可能性があるもの。「MS10-089」で修正されますが、この修正パッチはMicrosoft ダウンロードセンターでのみダウンロードが可能です。UAGを利用している方は以下のリンクからダウンロードできます。

MS10-089 : Forefront Unified Access Gateway (UAG) の重要な更新 (リンク切れ)

これら脆弱性を修正するパッチの適用は、UAG以外はすべてWindows Updateで行うことができます。コントロールパネルにある「Windows Update」へ行ってすぐにアップデートしましょう。
脆弱性やWindows Updateについては、このサイトでも解説しています。

第5回 ソフトウェアの脆弱性を狙ったネットからの攻撃を防ぐ

参考URL