マイクロソフト(MS)は9日、2月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。公開されたパッチは、最も深刻な「緊急」が3件、2番目に深刻な「重要」が9件、計12件となる。Windows、Office、Internet Explorerが影響を受ける。
【更新プログラムの内容】
[緊急]
・Internet Explorer 用累積パッチ:リモートでコードが実行される脆弱性
・Windows シェル:リモートでコードが実行される脆弱性
・OpenType Compact Font Format (CFF) ドライバー:リモートでコードが実行される脆弱性
[重要]
・インターネット インフォメーション サービス (IIS) の FTP サービス:リモートでコードが実行される脆弱性
・Active Directory :サービス拒否が起こる脆弱性
・Microsoft Visio :リモートでコードが実行される脆弱性
・JScript および VBScript スクリプト エンジン:情報漏えいが起こる脆弱性
・Windows クライアント/サーバー ランタイム サブシステム:特権が昇格される脆弱性
・Windows カーネル:特権が昇格される脆弱性
・Windows カーネルモード ドライバー:特権が昇格される脆弱性
・Kerberos :特権が昇格される脆弱性
・Local Security Authority Subsystem Service (LSASS) :特権が昇格される脆弱性
「緊急」に分類されているInternet Explorer用の累積パッチを適用すると、すでにコード実行の実証コードが公開され、昨年12月にMSからセキュリティアドバイザリ (2488013)が出されていた「CSS処理の問題でクラッシュを引き起こす脆弱性」も解決される。
同じく「緊急」に分類されるWindows シェルの脆弱性は、XP/Vista、Server 2003/2008のユーザーに影響するもので、特別に細工されたサムネイル画像を開くとリモートでコードが実行されるおそれがあった。1月にセキュリティアドバイザリ (2490606) が出されていた。
もう1つの「緊急」に分類される OpenType Compact Font Format (CFF) ドライバーの脆弱性は、特別に細工された CFFフォントでレンダリングされたコンテンツを表示すると、リモートでコードが実行されるおそれがあるもの。この問題は非公開で報告されていたが、今回のパッチで解決される。
「重要」に分類される脆弱性のうち、IISの脆弱性、Active Directoryの脆弱性、Windows カーネルの脆弱性、Kerberos の脆弱性については、すでに一般に脆弱性情報が公開されていた。
このほか、Windows Update、Microsoft Update、Windows Server Update Services およびダウンロードセンターで、「悪意のあるソフトウェアの削除ツール」更新バージョンも公開されている。
(2011/02/09 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
・2011 年 2 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms11-feb.mspx
【関連記事:ネットセキュリティニュース】
・XP/Vistaに脆弱性、MSがアドバイザリ公開~サムネイル画像表示に注意(2011/01/05
・Internet Explorerの脆弱性狙う危険なコード出現、MSがアドバイザリ公開(2010/12/27)