「緊急」の更新はまだある。ActiveXのKill Bitの累積的なセキュリティ更新では、現在も悪用されている、Active Template Library(ATL)を使用してコンパイルされたActiveXコントロールの脆弱性を解決する。また別のパッチは、ATLのActiveXコントロールに内在する、悪質なコンポーネントまたはコントロールを読み込んだ場合にリモートでコードが実行される可能性のある複数の脆弱性を解決する。ActiveXとATLは、Microsoftが2009年7月に公開した緊急パッチの対象だった。
最後となる「緊急」の脆弱性は、WindowsのGraphics Device Interface Plus (GDI+)に関するものだ。この脆弱性では、影響を受けるソフトウェアで悪質な画像ファイルを使って表示させた場合や、悪意あるウェブページを閲覧した場合に、攻撃者にコンピュータを制御されるおそれがある。
深刻度が「重要」のセキュリティ情報は5件公開された。1件はIISの脆弱性を修復するもので、この脆弱性についてはエクスプロイトコードがすでに一般に出回っているが、限定的な攻撃にとどまっている。他に修復の対象となっているのは、Windows CryptoAPIの脆弱性、Windows Indexing Serviceの脆弱性、Windows Kernelの脆弱性、およびLocal Security Authority Subsystem Service(LSASS)の脆弱性だ。
Windows CryptoAPIのセキュリティ更新は、インターネットでドメイン名が認証される部分の脆弱性に関するもので、攻撃者のなりすましにより、疑いを持たないネットユーザーが情報を盗まれる可能性がある。この脆弱性は、2009年8月のDEFCONで研究者のDan Kaminsky氏とMoxie Marlinspike氏によって明らかにされた。
今回の定例パッチで影響を受けるソフトウェアには、Windows 7、「Windows 2000」「Windows XP」「Windows Vista」「Server 2003」「Server 2008」「Office XP」「Office 2003」「Office 2007」「SQL Server 2000」「SQL Server 2005」、Silverlight、「Visual Studio .Net 2003」「Visual Studio 2005」「Visual Studio 2008」「Visual FoxPro 8.0」「Visual FoxPro 9.0」「Report Viewer 2005」「Report Viewer 2008」「Forefront Client Security 1.0」、また「Visio」「Project」「Word Viewer」「Works」を含むOfficeソフトウェアなどがある。
今回インストールされるパッチはまた、トロイの木馬「Win/FakeScanti」を除去する。Win/FakeScantiは、コンピュータユーザーのシステムをスキャンしてマルウェアを発見すると主張し、さらに見つかったと主張して金銭を得ようとする。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
2024年、スマートウォッチはどう変わる?--AI機能強化、デザインも変化か 
「ストリートビュー」が捉えたクレイジーすぎる光景38連発