MSが6月の月例パッチ公開、IEの“緊急”パッチなど計10件


 マイクロソフト株式会社は9日、月例のセキュリティ更新プログラム(修正パッチ)10件を公開した。最大深刻度は、4段階で最も高い“緊急”が3件、2番目に高い“重要”が7件。

 “緊急”となっている3件は、Windows関連の「MS10-033」と「MS10-034」、Internet Explorer(IE)関連の「MS10-035」。

 「MS10-033」は、Windowsに見つかった2件の脆弱性を修正する。メディア解凍に関する脆弱性で、細工されたメディアファイルを開いたり、細工がされたストリーミングコンテンツを受け取った場合に、リモートでコードが実行される可能性があるとしている。影響を受けるOSは、Windows 7/Vista/XP/2000、Windows Server 2008 R2/2008/2003。

 「MS10-034」は、ActiveXの2件の脆弱性を修正する。この脆弱性は、特定のActiveXコントロールをインスタンス化する特別な細工されたWebページをIEで表示した場合、リモートでコードが実行される可能性があるというもの。修正パッチでは、影響を受けるコントロールがIEで実行されないようにKill Bitを設定する。影響を受けるOSは、Windows 7/Vista/XP/2000、Windows Server 2008 R2/2008/2003。ただし、サーバー版OS上のIEについては、深刻度は上から3番目の“警告”と低くなっている。

 「MS10-035」は、IEの6件の脆弱性を修正する。その中で最も深刻な脆弱性が悪用された場合、細工されたWebページをIEで表示した際に、リモートでコードが実行される可能性がある。影響を受けるのは、Windows 7/Vista/XP/2000およびWindows Server 2008 R2/2008/2003上のIE 8/7/6。ただし、サーバー版OS上のIEについては、深刻度は上から3番目の“警告”と低くなっている。

 なお、「MS10-035」に含まれる6件のうちの1件「クロスドメインの情報漏えいの脆弱性」は、すでに2月に情報が公表されていたもの。マイクロソフトでもセキュリティアドバイザリ(980088)を公開し、回避策を示していた。マイクロソフトでは、すでにその回避策を適用していた場合は、今回の修正パッチをインストールする前に、回避策を解除することを推奨している。

 最大深刻度が“重要”となっているのは、Windows関連4件とOffice関連3件。

 Windowsのカーネルモードドライバーの脆弱性を修正する「MS10-032」、OfficeのCOMオブジェクトの検証の脆弱性を修正する「MS10-036」、Windows OpenType Compact Font Format(CFF)ドライバーの脆弱性を修正する「MS10-037」、Excelの脆弱性を修正する「MS10-038」、SharePointの脆弱性を修正する「MS10-039」、IISの脆弱性を修正する「MS10-040」、.NET Frameworkの脆弱性を修正する「MS10-041」。

関連情報