米Microsoftは現地時間12月7日,日本時間12月13日に公開するセキュリティ情報および修正パッチ(セキュリティ更新プログラム)の概要を発表した。WindowsとVisual Studioに関する情報を計6件公開する予定。最大深刻度は最悪の「緊急」。Visual Studioのセキュリティ情報には,11月のゼロデイ攻撃に悪用されたセキュリティ・ホールが含まれると予想される。
公開されるセキュリティ情報の内訳は,Windowsに関するものが5件,Visual Studioに関するものが1件。いずれについても,セキュリティ・ホールの危険度を示す最大深刻度は「緊急」に設定されている。
Visual Studioについては,パッチ未公開のセキュリティ・ホールが見つかっており,これを悪用するゼロデイ攻撃が確認されている。マイクロソフトでは11月1日に「セキュリティアドバイザリ」を公開し,セキュリティ・ホールの概要や回避策を公表した(関連記事:Visual Studioにセキュリティ・ホール)。このため,次回公開されるVisual Studioのセキュリティ情報には,このセキュリティ・ホールに関する情報および修正パッチが含まれるものと考えられる。
ゼロデイ攻撃に悪用されたセキュリティ・ホールは,Visual Studio 2005に含まれるActive Xコントロール「WMI Object Broker」に関するもの。このコントロールを呼び出すようなWebページにInternet Explorer(IE)などでアクセスするだけで,パソコン上で任意のプログラムを実行される恐れがある。
悪用しやすいセキュリティ・ホールであるため,セキュリティアドバイザリの公開後,このセキュリティ・ホールを突く攻撃が多数確認されていると伝えられた(関連記事:Visual Studioのセキュリティ・ホールを突く攻撃が多数確認)。
パッチ未公開のセキュリティ・ホールとしては,Microsoft Wordに関するものも確認されている。こちらについてもゼロデイ攻撃によって明らかになり,マイクロソフトは12月6日にセキュリティアドバイザリを公開した(関連記事:またもやWordを狙ったゼロデイ攻撃)。しかしながら同社の予告によると,Microsoft Officeに関するセキュリティ情報は公開されない予定なので,Wordに関する詳細情報や修正パッチはリリースされないとみられる。
修正パッチは,Microsoft UpdateやWindows Update,Windows Server Update Services (WSUS),Software Update Services(SUS)およびダウンロードセンターなどから入手できる。
Visual Studioのパッチは,適用後にマシンの再起動を必要とする。Windowsのパッチの中にも,適用後に再起動を必要とするものが存在する。また,いずれについても,パッチが適用されているかどうかは,Microsoft Baseline Security Analyzer(MBSA)およびEnterprise Scan Tool(EST)で検出できるという。
12月13日には,「悪意のあるソフトウエアの削除ツール」の新版も公開する予定。悪意のあるソフトウエアの削除ツールは,Microsoft UpdateやWindows Update,WSUSおよびダウンロードセンターから利用できる。
そのほか,セキュリティ以外の優先度の高い更新プログラムを,Microsoft UpdateとWSUSでは10件,Windows UpdateとSUSでは4件リリースする予定である
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
