0001まちがって名前消しちゃいました。
2012/11/14(水) 22:33:25.60ID:???米Microsoftは11月13日(日本時間14日)、予告通りに6件のセキュリティ情報を公開した。このうち深刻度が最も高い「緊急」レベル
は4件あり、10月にリリースされたばかりのWindows 8やWindows RTにも影響する深刻な脆弱性に対処している。
同社は緊急レベルの4件の中でも、特にInternet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS12-071)と、Windows
カーネルモードドライバの脆弱性に対処する更新プログラム(MS12-075)の2件については、最優先での適用を勧告している。
IEの更新プログラムは非公開で報告された3件の脆弱性に対処した。悪用された場合、攻撃者が細工を施したWebページをユーザー
に閲覧させ、リモートでコードを実行できてしまう恐れがある。この脆弱性は、Windows Vistaや7に搭載されているIE 9が深刻な影響を
受ける。一方、IE 10などは影響を受けないとされる。
Windowsカーネルモードドライバの脆弱性は、Windows 8とWindows RTも含めて、サポート対象のWindowsの全バージョンが深刻な
影響を受ける。脆弱性は3件あり、最も深刻なものでは、悪質なTrueTypeフォントを仕込んだWebサイトをユーザーが閲覧すると、攻撃
者にリモートでコードを実行される恐れがある。
残る緊急レベルの2件は、Windowsシェルの脆弱性(MS12-072)と、.NET Frameworkの脆弱性(MS12-074)に対処するもので、いずれ
も深刻な影響を受けるOSとしてWindows 8が含まれている。Windowsシェルの脆弱性は細工を施したWindowsエクスプローラのブリーフ
ケースによって、.NET Frameworkの脆弱性は悪質なプロキシ自動構成ファイルによって、それぞれ悪用される恐れがある。
このほかに、Excelに存在する4件の脆弱性(MS12-076)と、インターネットインフォメーションサービス(IIS)の情報流出の脆弱性(MS1
2-073)に対処する更新プログラムが公開された。Microsoftの4段階評価による深刻度は、Excelの脆弱性が上から2番目の「重要」、IIS
の脆弱性は下から2番目の「警告」と位置付けている。
今回のセキュリティ情報で対処した脆弱性は、いずれも現時点で攻撃の発生は確認されていない。ただ、SANS Internet Storm Center
によると、IISの情報流出の脆弱性についてはコンセプト実証コードが存在する可能性があるという。
