Microsoftは米国時間11月9日、11件の脆弱性に対処する3件のセキュリティ情報を公開した。そのうち1件の脆弱性は深刻度が「緊急」とされ、攻撃者が悪意ある電子メールを送信するのに利用する可能性がある。その場合、特別に細工されたリッチテキスト形式(RTF)のメッセージをユーザーが開くかプレビューすると、リモートでコードが実行される可能性があるという。
優先度の高い更新である「MS10-087」は、現在サポートされているすべての「Microsoft Office」製品に影響する5件の問題に対処している。「Microsoft Security Response Center」のブログ投稿によると、「『Outlook』のプレビューペインが媒介し、特別に細工された悪質なRTFファイルの閲覧で脆弱性が誘発されるおそれがあることから」、「Office 2007」と「Office 2010」について深刻度が「緊急」と評価されているという。とはいえ、既知の攻撃方法については「Microsoft Word」のみが使用され、Outlookが直接影響を受けるわけではない。
この更新はまた、「ダイナミックリンクライブラリのプリロード(DLL Preloading)」または「バイナリの植え付け(Binary Planting)」と呼ばれる脆弱性への、Officeの媒介にも対処している。この脆弱性は、DLLファイルのWindowsの扱い方に関するもので、最近数多くのアプリケーションで発生し、実際の攻撃にもつながっている。
次にユーザーが注目すべき更新は「MS10-088」だ。これは「Microsoft PowerPoint」の脆弱性2件に対処している。これらの脆弱性では、悪質な「PowerPoint」ファイルを開くとリモートでコードが実行されるおそれがある。
最後の「MS10-089」は、「Microsoft Forefront」のコンポーネントである「Unified Access Gateway」の脆弱性4件に対処する。最も重大な脆弱性では、ウェブサイト上の悪質なリンクをユーザーがクリックすると、特権の昇格を許す可能性がある。この更新はMicrosoft Download Centerを通じて提供されており、現時点ではMicrosoft Updateからは入手できない。
Microsoftは、2010年11月の定例パッチで対処された脆弱性の悪用を試みる有効な攻撃は一切確認していないと話している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」