MS、「BEAST」攻撃を許す脆弱性に対処--1月の月例パッチ

　米国時間1月10日に行われた「Microsoft Windows」の更新では、Eコマースサイトのセキュリティを確保するために使われるプロトコルの脆弱性を修正している。この脆弱性は、研究者たちが「BEAST」と名付けたツールを使って初めて発見したものだ。

　Microsoftは、2011年12月にBEAST（Browser Exploit Against SSL/TLS）関連のパッチを公開する計画だったが、SAP製ソフトウェアとの互換性の問題が発生したため公開を見合わせた。研究者らが2011年9月にBEASTを使った脆弱性に関するデモを行ったことで、攻撃者がこのツールを悪用していわゆる「中間者」攻撃を仕掛け、保護されたインターネットセッションを傍受するのでは、との懸念が生じていた。セキュリティ情報「MS12-006」は、Secure Sockets Layer（SSL）およびTransport Layer Security（TLS）のプロトコルの脆弱性を解決するものだ。

　Microsoftの月例パッチにおける7件のセキュリティ情報では、8件の脆弱性に対する修正を公開しており、このうち深刻度が「緊急」となっているのは「MS12-004」の1件だけだ。MS12-004は、「Windows Media Player」の脆弱性2件を修正している。攻撃者がこれらの脆弱性を悪用し、悪意あるMIDIまたはDirectShowファイルを標的のユーザーに送信することにより、コンピュータを乗っ取る可能性がある。詳細は、Microsoft Security Response Center（MSRC）ブログで入手できる。

　2012年1月のセキュリティ情報には、セキュリティ機能のバイパスに関する脆弱性に対処する「MS12-001」も含まれている。これは新しい種類の脆弱性で、攻撃に直接使われることはないが、攻撃者が他の脆弱性を悪用する際、セキュリティをバイパスするのに使われるおそれがある。

　一方、Adobe Systemsも同日、WindowsおよびMacintosh版「Adobe Reader X（10.1.1）」およびそれ以前のバージョン、ならびにWindowsおよびMacintosh版「Adobe Acrobat X（10.1.1）」およびそれ以前のバージョンについて、セキュリティ緊急度が「クリティカル」の問題を解決するアップデートを公開した。