MS、12月の月例パッチを公開--「IE」の脆弱性など6件を修正

　Microsoftは米国時間12月8日、「Internet Explorer」（IE）の深刻な脆弱性に対処する修正パッチをリリースした。すでに悪用コードが出回っている脆弱性への修正も含まれる。

　Microsoftの月例更新には、IE、「Windows」「Windows Server」「Office」の脆弱性12件を修正するセキュリティ情報6件が含まれる。

　しかし、中でも優先度が高いのは、「Windows 7」を含む主要なバージョンすべてのWindowsと、IE 6、IE 7、IE 8に影響を及ぼす累積的なIEのセキュリティ更新プログラムだ。この更新は、ドライブバイダウンロード攻撃で攻撃者によるリモートでのシステム制御を許す可能性のある脆弱性5件を修正する。また、リモートでコードが実行される可能性がある、「Microsoft Active Template Library」（ATL）ヘッダーに組み込まれたActiveXコントロールの問題にも対応する。

　深刻度が「緊急」とされた2件目の更新では、Windowsのインターネット認証サービスにおける脆弱性を修正するほか、同じく深刻度が「緊急」の3件目の更新は、「Microsoft Office Project」の脆弱性を修正する。深刻度が「重要」とされた3件の更新は、「Local Security Authority Subsystem Service」（LSASS）および「Active Directory Federation Services」（ADFS）に関連するWindowsの脆弱性、同様に「WordPad」とOfficeテキストコンバーターの脆弱性も修正する。

　今回の更新で影響を受ける製品は、「Windows 2000」「Windows XP」「Windows Vista」、Windows 7、「Windows Server 2003」「Windows Server 2008」「Office XP」「Office 2003」「Project 2000」「Project 2002」「Office Project 2003」「Works 8.5」「Office Converter Pack」となっている。

　一方、「Windows 2000 Service Pack 4」システム向けドメインネームシステム（DNS）における保護強化を目的として、深刻度が「重要」の更新1件が再リリースされている。この更新では、リモートの攻撃者が、インターネット上のシステムに向かうネットワークトラフィックを攻撃者自身のシステムにリダイレクトさせる可能性のある、DNSクライアントとDNSサーバの脆弱性を修正する。

　Microsoftはまた、統合Windows認証および「Indeo」コーデックに関連する2件のセキュリティアドバイザリを新たに公開した。Microsoft Security Response Center（MSRC）のブログ投稿によれば、IndeoコーデックのアップデートはWindows XPとWindows Server 2003に適用されるもので、コーデックがインターネットゾーンのIEと「Windows Media Player」で使用されるのを防ぐという。また、統合Windows認証に関するアドバイザリでは、Windowsプラットフォームにおける認証の資格情報を保護することを目的として、「Extended Protection for Authentication」（認証に対する保護の強化）を実現する、セキュリティ以外の更新を複数盛り込んでいる。

　Microsoftはさらに、「Win32/Hamweq」ワームの検出と削除を行う「悪意のあるソフトウェアの削除ツール」をアップデートした。

　nCircleでセキュリティオペレーション担当ディレクターを務めるAndrew Storms氏は、「本日（12月8日）のパッチには、Microsoftの新OSであるWindows 7とWindows Server 2008に影響を及ぼす、大規模なサービス拒否（DoS）攻撃に対する修正が欠けている」と述べた。