日本マイクロソフトは2012年7月11日、WindowsやOffice、Internet Explorer(IE)などに関するセキュリティ情報を9件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、悪質なWebサイトにアクセスするだけで、ウイルスに感染する恐れなどがある。実際、脆弱性を悪用した標的型攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Server 2003/Vista/Server 2008/7/Server 2008 R2)、Office 2003/2007/2010、Office for Mac 2011、IE9、SharePoint Server 2007/2010、Visual Basic for Applicationsなど。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。
(1)[MS12-043]XML コアサービスの脆弱性により、リモートでコードが実行される (2722479)
(2)[MS12-044]Internet Explorer 用の累積的なセキュリティ更新プログラム (2719177)
(3)[MS12-045]Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (2698365)
(1)は、WindowsやOfficeなどに含まれる「XMLコアサービス」に関するセキュリティ情報。この情報に含まれる脆弱性は、第三者により既に公開されていた。さらに、脆弱性を悪用した標的型攻撃も確認されている。
最大深刻度が上から2番目の「重要」に設定されているのは以下の6件。
(4)[MS12-046]Microsoft Visual Basic for Applications の脆弱性により、リモートでコードが実行される (2707960)
(5)[MS12-047]Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2718523)
(6)[MS12-048]Windows シェルの脆弱性により、リモートでコードが実行される (2691442)
(7)[MS12-049]TLS の脆弱性により、情報漏えいが起こる (2655992)
(8)[MS12-050]SharePoint の脆弱性により、特権が昇格される (2695502)
(9)[MS12-051]Microsoft Office for Mac の脆弱性により、特権が昇格される (2721015)
(4)に含まれる脆弱性についても、第三者により公開されていて、悪用した標的型攻撃が確認されているという。
対策はパッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。ただし、サーバー製品やMac用製品のパッチについては、Webサイトからのみ入手可能。
