マイクロソフトは4日、今月9日に公開を予定しているセキュリティ更新プログラム(修正パッチ)の概要を発表した。リリース予定の修正パッチは、4段階評価で深刻度が最も高い「緊急」2件、2番目に高い「重要」5件の計7件。
「緊急」のパッチ2件では、Windows、Office、開発ツール、サーバーソフトウェアに影響する重大な脆弱性に対処する。これらの脆弱性を悪用されると、いずれもリモートでコードが実行されるおそれがある。
「重要」のパッチ5件は、Windows、サーバーソフトウェア、「.NET Framework」に存在する脆弱性に対処する。悪用されると、特権の昇格、セキュリティ機能のバイパス、サービス拒否を招くおそれがある。
このほか、セキュリティ以外の優先度の高い更新プログラムと、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースも予定されている。
なお、米マイクロソフトは2012年12月31日(現地時間)、Internet Explorer(IE)に存在する脆弱性を回避する「Fix it」を公開した。この脆弱性は、IE6/7/8に存在し、IE9/10には存在しない。悪用されるとリモートからコードが実行されるおそれがあり、同社は攻撃を確認しているという。
該当ユーザーは、修正プログラムが公開されるまでの間、回避策としてFix itを適用されたい。セキュリティ機関のIPA、JVNは、その他の対策として、脆弱性悪用防止ツール「EMET」の導入、「Flash ActiveX コントロール」「Java プラグイン」の無効化を挙げている。Fix itの適用、EMETの導入方法は、IPAの解説(下記URL)を参照いただきたい。
(2013/01/07 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・マイクロソフト セキュリティ情報の事前通知-2013年1月
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-jan
・Advance Notification Service for the January 2013 Security Bulletin Release[英文]
http://blogs.technet.com/b/msrc/archive/2013/01/03/advance-notification-service-for-the-january-2013-security-bulletin-release.aspx
<IEの脆弱性対策関連>
・Internet Explorer の脆弱性の回避策について(IPA)
http://www.ipa.go.jp/security/ciadr/vul/20130104-ms.html
・Internet Explorer に任意のコードが実行される脆弱性(JVN)
http://jvn.jp/cert/JVNVU92426910/index.html
・Fix it for Security Advisory 2794220 now available[英文]
http://blogs.technet.com/b/msrc/archive/2012/12/31/fix-it-for-security-advisory-2794220-now-available.aspx
・Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution[英文]
http://support.microsoft.com/kb/2794220