MSRC EngineeringチームのJonathan Ness氏は、各セキュリティ情報のリスクファクターを評価するのに役立つ表を提供している。
| セキュリティ情報 | 可能性の高い攻撃ベクトル | 最大深刻度 | 最大悪用可能性指標 | 30日間で予想される影響 | プラットフォーム緩和策/備考 |
| MS10-055 (Cinepak) |
悪質なウェブページの閲覧または悪質なAVIファイルをメディアプレーヤーで再生。 | 緊急 | 1 | Cinepakコーデックの脆弱性を悪用する攻撃コードがリリースされる可能性あり。 | Windows Server 2003、Windows Server 2008には脆弱性のあるDLLは存在しない。 |
| MS10-052 (MPEG-3) |
悪質なウェブページの閲覧または悪質なASXファイルをメディアプレーヤーで再生。 | 緊急 | 1 | MPEG-3コーデックの脆弱性を悪用する攻撃コードが登場する可能性あり。 | 脆弱性があるのはWindows XPおよびWindows Server 2003のみ。 |
| MS10-056 (Word、RTF) |
悪質なRTFファイルをMicrosoft Wordで開く、またはRTFメールをOutlook 2007で開く。 | 緊急 | 1 | RTFの攻撃コードが開発される可能性あり。 | Office 2010には影響なし。 2007より前のバージョンのOutlookは、RTFパーサーにWordを使用していないため、Outlookを利用した攻撃ベクトルの影響を受けない。 |
| MS10-060 (Silverlight、.NET framework) |
悪質なウェブページの閲覧。 | 緊急 | 1 | Silverlightの脆弱性を悪用する攻撃コードがリリースされる可能性あり。 | |
| MS10-054 (SMB) |
Windows XPのシステムがネットワーク経由で送られるSMBパケットで侵害される。 | 緊急 | 2 | この脆弱性を利用したコードの実行は困難。 | プラットフォームごとのリスクに関する詳しい情報については、このSRDブログを参照。 |
| MS10-053 (Internet Explorer) |
悪質なウェブサイトを閲覧。 | 緊急 | 1 (IE6のみ) |
IE7、IE8を対象とした安定した信頼性のあるコードを開発するのは困難。 | プラットフォームの緩和策により、IE7およびIE8に攻撃を成功させることは非常に困難。 |
| MS10-051 (MSXML ActiveX) |
悪質なウェブサイトを閲覧。 | 緊急 | 2 | 信頼性のある攻撃コードを作成するのは困難。 | |
| MS10-049 (schannel) |
悪質なhttpsを使用したウェブサイトを閲覧。 | 緊急 | 2 | CVE-2010-2566を悪用してコードを実行することは困難。攻撃が成功した場合、コードの実行はSYSTEMとして行われるため、困難さにもかかわらず魅力的なターゲットとなり得る。 | Windows Vista以降のプラットフォームでは、深刻度は重要に設定されている。詳しい情報については、このSRDブログとこのSRDブログを参照。 |
| MS10-050 (Windows Movie Maker) |
電子メールで送られた、またはウェブサイトからダウンロードされた悪質なMSWMMファイルを開く。 | 重要 | 1 | MSWMMを悪用するコードが開発される可能性あり。 | Windows 7にデフォルトで同梱されているWindows Live Movie Makerには影響がない。 |
| MS10-057 (Excel 2002、Excel 2003) |
電子メールで送られた、またはウェブサイトからダウンロードされた悪質なXLSファイルを開く。 | 重要 | 1 | XLSを悪用するコードが開発される可能性あり。 | Office 2007、Office 2010には影響なし。 |
| MS10-048 (Win32k) |
ローカルでマシンにログインした攻撃者が、この脆弱性を悪用してより高い特権に昇格する。 | 重要 | 1 | CVE-2010-1897およびその他の脆弱性を利用する攻撃コードが開発される可能性あり。 | |
| MS10-058 (TCP/IP) |
遠隔の攻撃者が対象マシンでバグチェックを引き起こす。ローカルでマシンにログインしている攻撃者が、この脆弱性を悪用してより高い特権に昇格する。 | 重要 | 1 | 1つあるいは両方の脆弱性を悪用するコードが登場する可能性あり。 | 64ビット版Windowsは、ローカルで特権昇格を引き起こす脆弱性の影響を受けない。 |
| MS10-059 (Tracing service) |
ローカルでマシンにログインしている攻撃者が、脆弱性を利用してより高い特権に昇格する。 | 重要 | 1 | 概念実証コードがリリースされる可能性あり。 | |
| MS10-047 (Kernel) |
ローカルでマシンにログインしている攻撃者が、脆弱性を利用してより高い特権に昇格する。 | 重要 | 1 | 概念実証コードが登場する可能性あり。 | Windows Server 2008 R2およびWindows 7では、セキュリティ上の影響はサービス拒否攻撃に限られる。 |
Googleの研究者Tavis Ormandy氏が、ローカルでログインしている攻撃者が特別に作成されたアプリケーションを実行した場合に特権昇格が可能になるカーネルの脆弱性をいくつか報告したとして、Microsoftに名前を挙げられている点は興味深い。
Ormandy氏は最近、Microsoftがパッチを公開する前に、コード実行の脆弱性に関して公の場で情報公開を行う判断をしたことで、同社と衝突している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
議事録作成もデジタル変革!
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
無限に広がる可能性
すべての業務を革新する
NPUを搭載したレノボAIパソコンの実力
川崎重工が目指す共創の在り方
「1→10」の事業化を支援する
イノベーション共創拠点の取り組みとは
CNET Japan Live 2025開催レポート
イノベーションの「種」から社会実装へ--
社会課題の解決に挑む各社の挑戦
メルカリが「2四半期連続のMAU減少」を恐れない理由--日本事業責任者が語る【インタビュー】
なぜPayPayは他のスマホ決済を圧倒できたのか--「やり方はADSLの時と同じ」とは
AIが通訳するから英語学習は今後「オワコン」?--スピークバディCEOの見方は
パラマウントベッド、100人の若手が浮き彫りにした課題からCVCが誕生
野村不動産グループが浜松町に本社を「移転する前」に実施した「トライアルオフィス」とは
「ChatGPT Search」の衝撃--Chromeの検索窓がデフォルトで「ChatGPT」に
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
絶対に迷わずにiPhoneの電源を切る(シャットダウンする)方法 
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた .jpeg)
性能の割に安いUSB充電器の動作が怪しいので分解したら「謎の塊」が入っていた話