脆弱性
2013年11月13日
「緊急」3件を含む11月のセキュリティ情報
マイクロソフトは13日、優先度の高さを示す深刻度が緊急3件、重要5件となる11月のセキュリティ情報計8件を発表した。緊急の3件はInternet Explorer(IE)およびWindows、ActiveXコントロールにおける脆弱性に関するもので、リモートでのコード実行の恐れに対処する。
IEの更新プログラムは、Internet Explorer 11を含むInternet Explorerに存在する10件の脆弱性を解決するもの。細工されたWebページをIEで開くとリモートでコード実行されたり、利用ユーザーと同等の権限を取得されたりする恐れがある。Windowsでは、細工されたWindows Writeファイルをワードパッドで開いた場合に発生するコード実行などの恐れがある1件の脆弱性を解決する。また、ActiveXコントロールの脆弱性では、IEで細工されたWebページを開きActiveXコントロールをインスタンス化した場合、リモートでコードが実行される恐れがある。
いずれもMicrosoft Update、Windows Updateを利用して、更新プログラムを適用できる。
「緊急」のセキュリティ更新プログラムの内容は以下の3件。
・MS13-088 Internet Explorer用の累積的なセキュリティ更新プログラム
・MS13-089 Windows Graphics Device Interfaceの脆弱性により、リモートでコードが実行される
・MS13-090 ActiveX の Kill Bitの累積的なセキュリティ更新プログラム
2012年10月10日
MSが10月の月例パッチ7件を公開、Wordなどに関する脆弱性を修正
最大深刻度が“緊急”の「MS12-064」は、Wordに影響のある2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたWordファイルを開いた際に、悪意のあるプログラムなどを実行させられる恐れがある。影響のあるソフトウェアは、Word 2010/2007/2003、Word Viewer、Office互換性パック、SharePoint Server 2010、Office Web Apps 2010。
最大深刻度が“重要”のセキュリティ情報は、Worksに関する「MS12-065」、OfficeなどのHTMLサニタイズコンポーネントに関する「MS12-066」、FAST Search Server 2010 for SharePointに関する「MS12-067」、Windowsカーネルに関する「MS12-068」、Kerberosに関する「MS12-069」、SQL Serverに関する「MS12-070」の6件が公開されている。
このほか、公開鍵暗号のRSAアルゴリズムに対する強化策として、鍵長1024ビット未満の暗号キーを制限する更新プログラム「KB2661254」の自動更新による提供を開始した。8月からマイクロソフトのダウンロードセンターで公開していたものだが、今回、自動更新による提供となった。
2012年09月22日
緊急-マイクロソフト セキュリティ情報 MS12-063
マイクロソフトによると、パソコンの基本ソフト(OS)「ウィンドウズ」の利用者の大半は、自動的に更新が行われる設定が利用できるという。
マイクロソフトの広報担当者は声明で、IE利用者の多くがこのバグが原因となるサイバー攻撃を受けていないとしている。
ルクセンブルクを拠点とする研究者は14日、昨年の複数化学メーカーや防衛関連の請負業者に対するコンピューター上の産業スパイ活動に使われたサーバーを分析した際、自身のコンピューターが感染したと明らかにした。
Internet Explorer 用の累積的なセキュリティ更新プログラム (KB2744842)をダウンロードしましょう。
このセキュリティ更新プログラムは、Internet Explorer に存在する 1 件の一般に公開された脆弱性および 4 件の非公開で報告された脆弱性を解決します。最も深刻な脆弱性が悪用された場合、ユーザーが特別に細工された Web ページを Internet Explorer を使用して表示すると、リモートでコードが実行される可能性があります。これらの脆弱性のいずれかが悪用された場合、攻撃者が現在のユーザーと同じ権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。
このセキュリティ更新プログラムは、Windows クライアント上の Internet Explorer 6、Internet Explorer 7、Internet Explorer 8 および Internet Explorer 9 について深刻度を「緊急」と評価し、Windows サーバー上の Internet Explorer 6、Internet Explorer 7、Internet Explorer 8 および Internet Explorer 9 について深刻度を「警告」と評価しています。Internet Explorer 10 は影響を受けません。詳細情報については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。
このセキュリティ更新プログラムは、Internet Explorer がメモリのオブジェクトを処理する方法を変更することにより、この脆弱性を排除します。これらの脆弱性の詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。
このセキュリティ更新プログラムは、マイクロソフト セキュリティ アドバイザリ 2757760 で最初に説明した脆弱性も解決します。
推奨する対応策: ほとんどのお客様は自動更新を有効にしていて、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。
管理者およびエンタープライズ インストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンド ユーザーについては、マイクロソフトは更新プログラム管理ソフトウェアまたは Microsoft Update サービスを使用して更新プログラムを確認してこの累積的な更新プログラムを直ちに適用することを推奨します。