Microsoftは米国時間12月14日、40件のセキュリティホールに対処する17件のセキュリティ情報を公開した。同社はまた、生産性ソフトウェア「Microsoft Office」の旧バージョン「Office 2003」と「Office 2007」について、「Protected View」(保護されたビュー)でファイルを開く機能を追加することにより、セキュリティを向上させると述べた。
MicrosoftのTrustworthy Computing Groupでレスポンスコミュニケーションズ担当グループマネージャーを務めるJerry Bryant氏は、顧客に向けて、同社の月例更新の一環である深刻度が「緊急」のセキュリティ情報2件に注目するよう求めている。そのうちの1件「MS10-090」は、「Internet Explorer(IE)」用の累積的なセキュリティ更新プログラムで、「IE 6」「IE 7」「IE 8」に影響を及ぼす脆弱性7件を解決する。Bryant氏によると、「Windows XP」で実行するIE 6を標的とした攻撃がこれまで複数回起きているという。
深刻度が「緊急」となっているもう1件のセキュリティ情報は「MS10-091」で、WindowsのOpenTypeフォント(OTF)ドライバに存在する複数の脆弱性を解決する。Bryant氏によると、MS10-091はWindowsのすべてのバージョンに影響を及ぼし、主にIEとは違ってOTFをネイティブで描画するサードパーティーのブラウザが影響を受けるという。
Bryant氏は米CNETの取材に応じ、その他のセキュリティ情報については深刻度が「緊急」ではなく、「クリスマスの後まで先延ばしにできるかもしれない」と述べた。これらのセキュリティ情報において影響を受けるのは、Windows(サポート対象のすべてのバージョン)、Office、IE、「SharePoint」「Exchange」となっている。詳細はMicrosoftサイトの2010年12月のセキュリティ情報、およびMicrosoft Security Response Centerのブログ投稿に記載されている。
Microsoftは一方で、現在「Office 2010」に実装している「Office File Validation」(Officeファイル検証)機能を、2011年第1四半期までにOffice 2003とOffice 2007にも組み込む予定だ、とBryant氏は述べた。これはオプションのアップデートとして提供される予定だという。
こうした動きは、Officeの脆弱性の約80%を標的とする攻撃から顧客を保護する助けになる、とBryant氏は述べた。攻撃者は通常、脆弱性を悪用したドキュメントを作成して、この細工したドキュメントを電子メールで潜在的被害者に送信するか、またはドキュメントをウェブサイトにホストして訪問者に開かせようとする。
Office File Validationでは、.docや.xlsといったファイル形式のバイナリスキーマをチェックして、問題を検出した場合は保護されたビューでファイルを開く。Bryant氏によると、「ユーザーがそれでもなお、ドキュメントを編集したい、または引き続き開きたいと思う場合には、それがどんな結果を招き得るかについて(そして、危険な状態になるかもしれないことついて)厳重な警告を出す」という。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス