マイクロソフトは11日、7月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。公開されたパッチは、最も深刻な「緊急」3件を含む9件。Windows、Windows Server、Internet Explorer、Office、SharePoint、Microsoft開発者用ツール、Microsoftサーバーソフトウェアが影響を受ける。
【更新プログラムの内容】
[緊急]
・XMLコアサービス:リモートでコードが実行される脆弱性
・Internet Explorer用累積パッチ:リモートでコードが実行される脆弱性
・Microsoft Data Access Components:リモートでコードが実行される脆弱性
[重要]
・Visual Basic for Applications:リモートでコードが実行される脆弱性
・カーネルモードドライバー:特権が昇格される脆弱性
・Windowsシェル:リモートでコードが実行される脆弱性
・TLS(Transport Layer Security):情報漏えいが起こる脆弱性
・SharePoint:特権が昇格される脆弱性
・Office for Mac:特権が昇格される脆弱性
[緊急]に分類されている「XMLコアサービスの脆弱性」は6月に見つかったもので、すでに悪用が確認されている。マイクロソフトでは、この脆弱性を回避するための「Fix It 50897」を公開し、適用を呼びかけていた。このFix itを適用した方は、無効にするための「Fix it 50898」を実行しておこう。
また、この脆弱性は Microsoft XMLコアサービス(MSXML)の3.0、4.0、5.0、6.0に存在するが、5.0用のパッチは、テストが未完了ということで現時点では公開されていない。MSXML 5.0は Office 2003/2007に含まれているため、マイクロソフトではこれらのユーザーに対し、パッチが公開されるまでの間、「Fix it 50908」を適用するよう推奨している。
このほか、「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開されている。
(2012/07/11 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2012年7月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jul
・Microsoft Update
http://windowsupdate.microsoft.com/
【Fix it 50898のダウンロード】※50897の無効化
・サポート技術情報(2719615)(マイクロソフト)
http://support.microsoft.com/kb/2719615/ja
【Fix it 50908のダウンロード】※MSXML 5.0用
・MSXML - 5 steps to stay protected[英文](Microsoft)
http://blogs.technet.com/b/srd/archive/2012/07/10/msxml-5-steps-to-stay-protected.aspx
【関連記事:ネットセキュリティニュース】
・MSXMLの未修整の脆弱性を突く実証コード公開~IEユーザーは必ず「Fix It」適用を(2012/06/20)
・MSXMLの未修整の脆弱性を狙うゼロデイ攻撃発生、MSがアドバイザリ公開(2012/06/15)