マイクロソフトは5日、今月10日に公開が予定されているセキュリティ更新プログラムの概要を発表した。
リリース予定のセキュリティ更新プログラムは、Windowsに影響する「重要」1件と、Officeに影響する「重要」1件。このほかに「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースを予定している。
今回修正予定の脆弱性は、いずれもWebサイトを閲覧するだけでウイルスに感染してしまうようなタイプのものではなく、細工されたファイルを開くという操作をユーザー自身に行わせる必要がある。信頼できるファイル以外は開かないというルールを守っていただきたい。
なお、すでに公開されているVBScriptの脆弱性など3件の問題は、引き続き調査・開発を行っており、下記アドバイザリを参考に適切な回避策をとっていただきたい。
なかでも特に、Internet ExplorerのVBScriptを悪用して悪質なヘルプファイルを実行させることのできる問題は、一般の方への影響が懸念される。
この問題は修正予定の脆弱性同様、開くという操作をユーザー自身に行わせる必要があるのだが、[F1]キーがヘルプファイルを開くという操作になる点が落とし穴だ。サイト閲覧中に表示されるダイアログボックス(メッセージボックス)では、絶対に[F1]キーを押さないよう注意していただきたい。[F1]キーさえ押さなければ、攻撃は回避することができる。
■マイクロソフト セキュリティ情報の事前通知(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
■マイクロソフト セキュリティ情報の事前通知 - 2010 年 3 月(マイクロソフト)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-mar.mspx
■未修整の脆弱性に関するセキュリティアドバイザリ(マイクロソフト)
・(980088) Internet Explorer の脆弱性により、情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/980088.mspx
・(977544) SMB の脆弱性により、サービス拒否が起こる
http://www.microsoft.com/japan/technet/security/advisory/977544.mspx
・(981169) VBScript の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981169.mspx
(2010/03/05 ネットセキュリティニュース)