MS、11月の月例パッチを予告--ゼロデイ型XML脆弱性を修復へ

　Microsoftは米国時間11月14日、6件のセキュリティ情報をリリースする予定だ。このうち少なくとも1件は、サイバー攻撃に頻繁に悪用されているセキュリティ脆弱性に対する修復を含むという。

　Microsoftは、月例パッチリリースの一環として、「XML Core Services」ソフトウェアのセキュリティホールを修復する「緊急」レベルのパッチをセキュリティ情報としてリリースすることを、米国時間11月10日に公式サイトに掲載した。この脆弱性はいわゆるゼロデイ脆弱性と言われるもので、すでに攻撃に使われている。

　残り5件のセキュリティ情報は「Windows」のアップデートとなっており、一部は「緊急」レベルに分類されている。セキュリティ企業らは、いまだ対策が施されていない、Windowsやウェブブラウザコンポーネント「Internet Explorer」に存在する複数の脆弱性を追跡調査している。

　Microsoftは、今回のセキュリティアップデートが対象とする脆弱性の数や、修復されるWindowsのコンポーネントの詳細を公表していない。なお、やはり攻撃に悪用されるようになった「Visual Studio 2005」の脆弱性については、パッチは提供されないようだ。

　Microsoftは10月、10件のセキュリティ情報をリリースしたが、そのうち6件までもが、同社の評価では最も危険度の高い「緊急」レベルに認定されていた。「緊急」レベルの脆弱性には、ワームをまん延させたり、ユーザーの介在をほとんど、あるいは一切必要とせずにWindowsシステムを完全に支配したりするのに悪用されうるものが多い。

　また14日には、「Windows Malicious Software Removal Tool」のアップデート版も発表された。同ツールでは、コンピュータに侵入した既知の攻撃コードを検知および排除することができる。

　パッチの適用後にコンピュータもしくはサーバの再起動が必要になるということ以外、Microsoftは14日のセキュリティアップデートについて詳しい情報を明らかにしていない。