MSが12月の月例パッチ13件を公開、ウイルス「Duqu」が悪用の脆弱性などを修正


 日本マイクロソフト株式会社は14日、月例のセキュリティ更新プログラム(修正パッチ)とセキュリティ情報13件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が3件、2番目に高い“重要”が10件。

 9日に公表された事前情報では14件の修正パッチを公開するとしていたが、SSL/TLSの脆弱性に関する修正パッチで品質テストの過程においてサードパーティ製ソフトに影響する互換性の問題が見つかったため、今月の公開は見送られた。

 最大深刻度が“緊急”の修正パッチは、いずれもWindows関連の脆弱性を修正する「MS11-087」「MS11-090」「MS11-092」の3件。

 「MS11-087」は、TrueTypeフォントの解析に関する脆弱性を修正する。対象となるOSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。この脆弱性は、ウイルス「Duqu」による悪用が確認されており、特別な細工をされたフォントが埋めこまれた文書ファイルやウェブを表示した場合に、リモートでコードが実行される危険がある。

 「MS11-090」は、Internet Explorer(IE)のActiveXコントロールのうち脆弱性が発見されたMicrosoft Timeのコンポーネントについて、起動しないようにKill Bitを設定する。対象となるOSはWindows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003。また、Dell、HP、Yahoo!の各社が提供していた4つのActiveXコントロールについても、各社からの依頼によりKill Bitを設定する。

 「MS11-092」は、Windows Media PlayerとWindows Media Centerに関する脆弱性を修正する。対象となるOSはWindows 7/Vista/XP。脆弱性が悪用された場合、特別に細工されたMicrosoft Digital Video Recording(.dvr-ms)ファイルを開いた場合に、リモートでコードが実行される危険がある。

 このほか、最大深刻度が“重要”の修正パッチが10件公開されている。脆弱性の内容は、Windows関連が5件、Office関連が5件。このうち、Publisher関連の脆弱性を修正する「MS11-091」については、既に1件の脆弱性情報が一般に公開されていることが確認されている。また、「MS11-088」はOffice IMEの中国語版に関する脆弱性を修正するもので、日本語版のみの環境には影響がない。

関連情報