Microsoftは米国時間10月12日、同社過去最大の月例パッチを公開し、49件の脆弱性を修正した。一部のブラウザ脆弱性では、Interenet Explorer(IE)ユーザーをマルウェアの自動ダウンロード攻撃の危険にさらすおそれがある。
Internet Explorerを対象としたセキュリティ情報(MS10-071)では、合計12件の脆弱性を修正されている。ユーザーの関与なしに自動ダウンロード攻撃を受けるリスクがあることから、MicrosoftはWindowsユーザーに対し、このパッチをただちに適用するよう、強く促している。
また、WindowsユーザーはEmbedded OpenType(EOT)フォントの処理方法に関する重大な脆弱性を対象とする、MS10-076にも特に注意を払うべきだろう。このアップデートは、すべてのバージョンのWindows(Windows 7およびWindows Server 2008を含む)に対して「緊急」にレーティングされており、ユーザーが特別な細工を施されたウェブサイトを閲覧するだけで、リモートからコードを実行される可能性がある。
Microsoftはさらに、システム管理者に対して、次のセキュリティ情報を最優先で扱うよう促している。
10月の月例パッチでは、Microsoft Office生産性スイートに対しても大型のセキュリティパッチが適用されている。16件のセキュリティ情報のうち2件がMicrosoft Officeを対象としたもので、合計26件の脆弱性を修正している。
Microsoftによれば、これらのOfficeのセキュリティホールの一部は、特別に細工された.docファイルや.xlsファイル(WordファイルやExcelファイル)を通じて悪用される可能性があるという。
Shavlik Technologiesのデータおよびセキュリティチーム責任者のJason Miller氏によれば、Microsoftは2010年になってから合計86件のセキュリティ情報を公開しているという。
過去数年と比較すると、この数字はすでに過去の年の合計件数を大きく超えている。
Miller氏は、10月の月例パッチには、サードパーティー(Microsoft以外)のソフトウェアに影響のある3件のセキュリティ情報が含まれていると指摘している。
「これらのセキュリティ情報については、MicrosoftのOSに脆弱性が存在するが、Microsoftのソフトウェアには影響がなく、悪用も出来ない。攻撃者がこれらを悪用するには、未パッチのシステム上でサードパーティー製品を利用する必要がある。MS10-081とMS10-082は、Microsoft以外のブラウザに影響がある。MS10-074は、サードパーティーの圧縮プログラムに影響がある。Windowsを修正することで、これらの脆弱性は修正される」と、Miller氏は述べている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス