米国時間1月10日に行われた「Microsoft Windows」の更新では、Eコマースサイトのセキュリティを確保するために使われるプロトコルの脆弱性を修正している。この脆弱性は、研究者たちが「BEAST」と名付けたツールを使って初めて発見したものだ。
Microsoftは、2011年12月にBEAST(Browser Exploit Against SSL/TLS)関連のパッチを公開する計画だったが、SAP製ソフトウェアとの互換性の問題が発生したため公開を見合わせた。研究者らが2011年9月にBEASTを使った脆弱性に関するデモを行ったことで、攻撃者がこのツールを悪用していわゆる「中間者」攻撃を仕掛け、保護されたインターネットセッションを傍受するのでは、との懸念が生じていた。セキュリティ情報「MS12-006」は、Secure Sockets Layer(SSL)およびTransport Layer Security(TLS)のプロトコルの脆弱性を解決するものだ。
Microsoftの月例パッチにおける7件のセキュリティ情報では、8件の脆弱性に対する修正を公開しており、このうち深刻度が「緊急」となっているのは「MS12-004」の1件だけだ。MS12-004は、「Windows Media Player」の脆弱性2件を修正している。攻撃者がこれらの脆弱性を悪用し、悪意あるMIDIまたはDirectShowファイルを標的のユーザーに送信することにより、コンピュータを乗っ取る可能性がある。詳細は、Microsoft Security Response Center(MSRC)ブログで入手できる。
2012年1月のセキュリティ情報には、セキュリティ機能のバイパスに関する脆弱性に対処する「MS12-001」も含まれている。これは新しい種類の脆弱性で、攻撃に直接使われることはないが、攻撃者が他の脆弱性を悪用する際、セキュリティをバイパスするのに使われるおそれがある。
一方、Adobe Systemsも同日、WindowsおよびMacintosh版「Adobe Reader X(10.1.1)」およびそれ以前のバージョン、ならびにWindowsおよびMacintosh版「Adobe Acrobat X(10.1.1)」およびそれ以前のバージョンについて、セキュリティ緊急度が「クリティカル」の問題を解決するアップデートを公開した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス