マイクロソフトが10月の月例パッチを公開--Office、IEなどを修正

　Microsoftは米国時間10月12日、同社過去最大の月例パッチを公開し、49件の脆弱性を修正した。一部のブラウザ脆弱性では、Interenet Explorer（IE）ユーザーをマルウェアの自動ダウンロード攻撃の危険にさらすおそれがある。

　Internet Explorerを対象としたセキュリティ情報（MS10-071）では、合計12件の脆弱性を修正されている。ユーザーの関与なしに自動ダウンロード攻撃を受けるリスクがあることから、MicrosoftはWindowsユーザーに対し、このパッチをただちに適用するよう、強く促している。

　また、WindowsユーザーはEmbedded OpenType（EOT）フォントの処理方法に関する重大な脆弱性を対象とする、MS10-076にも特に注意を払うべきだろう。このアップデートは、すべてのバージョンのWindows（Windows 7およびWindows Server 2008を含む）に対して「緊急」にレーティングされており、ユーザーが特別な細工を施されたウェブサイトを閲覧するだけで、リモートからコードを実行される可能性がある。

　Microsoftはさらに、システム管理者に対して、次のセキュリティ情報を最優先で扱うよう促している。

• MS10-077：1件の.NET Frameworkの脆弱性を解決する。ユーザーがXAMLブラウザアプリケーション（XBAPs）を実行可能なブラウザを使用して、特別に細工されたウェブページを閲覧した場合、クライアントシステムでリモートからコードが実行される可能性がある。このバグは、サポート対象となっているすべてのバージョンのWindowsのうち、64ビット版のシステムにのみ影響がある。
• MS10-075：1件のWindows Media Playerの脆弱性を解決する。同一ネットワーク上のWindows VistaおよびWindows 7のクライアントに対して、特別に細工されたRTSPネットワークパケットを送信することで悪用される可能性のある。この問題は、Windows Media Network Sharingサービスの使用を選択したWindowsユーザーにのみ影響がある。ただし、Windows 7 Home Editionでは、この機能がデフォルト状態で選択されていることに注意する必要がある。

　10月の月例パッチでは、Microsoft Office生産性スイートに対しても大型のセキュリティパッチが適用されている。16件のセキュリティ情報のうち2件がMicrosoft Officeを対象としたもので、合計26件の脆弱性を修正している。

　Microsoftによれば、これらのOfficeのセキュリティホールの一部は、特別に細工された.docファイルや.xlsファイル（WordファイルやExcelファイル）を通じて悪用される可能性があるという。

　Shavlik Technologiesのデータおよびセキュリティチーム責任者のJason Miller氏によれば、Microsoftは2010年になってから合計86件のセキュリティ情報を公開しているという。

　過去数年と比較すると、この数字はすでに過去の年の合計件数を大きく超えている。

• 2009年--セキュリティ情報の合計74件
• 2008年--セキュリティ情報の合計78件
• 2007年--セキュリティ情報の合計69件

　Miller氏は、10月の月例パッチには、サードパーティー（Microsoft以外）のソフトウェアに影響のある3件のセキュリティ情報が含まれていると指摘している。

　「これらのセキュリティ情報については、MicrosoftのOSに脆弱性が存在するが、Microsoftのソフトウェアには影響がなく、悪用も出来ない。攻撃者がこれらを悪用するには、未パッチのシステム上でサードパーティー製品を利用する必要がある。MS10-081とMS10-082は、Microsoft以外のブラウザに影響がある。MS10-074は、サードパーティーの圧縮プログラムに影響がある。Windowsを修正することで、これらの脆弱性は修正される」と、Miller氏は述べている。