日本マイクロソフトは11日、毎月提供しているセキュリティ更新プログラム(月例パッチ)の7月分を公開した。9件の脆弱性情報が公表されており、危険度の大きさを表す最大深刻度が最も高い「緊急」が3件、2番目の「重要」が6件となっている。
今回は、すでにインターネット上での悪用が確認されている脆弱性、情報が一般公開された脆弱性が多く、対象となるユーザーはWindows Updateなどから早急にパッチを適用する必要がある。
Microsoft XML コア サービスの脆弱性により、リモートでコードが実行される (2722479)(MS12-043)
MS12-043は、XMLベースのアプリ開発に必要なMicrosoft XMLコアサービス(MSXML)に脆弱性が存在。MSXMLがオブジェクトをメモリ内で処理する方法に問題があり、リモートでコードが実行される危険性がある。
すでに一般に脆弱性情報が出回っており、これを悪用した標的型攻撃が確認されているという。
対象となるのはWindows XP/Vista/7/Server 2003/Server 2008上のMSXML3.0/4.0/6.0、Office 2003/2007/Word Viewer/互換機能パック、Expression Web、SharePoint Server 2007/Groove Server 2007上のMSXML5.0。最大深刻度は「緊急」、悪用しやすさを示す悪用可能性指標は「1」となっている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (2719177)(MS12-044)
MS12-044は、Internet Explorerに含まれる2件の脆弱性を解消するもので、IE9にのみ影響する脆弱性となっている。
「キャッシュされたオブジェクトのリモートでコードが実行される脆弱性」は、IEが削除されたオブジェクトにアクセスする方法に問題があり、任意のコードが実行される危険性がある。
「属性削除のリモートでコードが実行される脆弱性」も同様に、IEが削除されたオブジェクトにアクセスする方法に問題があるというもの。こちらも任意のコードが実行される危険性がある。
対象となるのはWindows Vista/7/Server 2008/2008 R2上のIE9で、Vista/7での最大深刻度は「緊急」、それ以外は「警告」。悪用可能性指標は「1」となっている。
Microsoft Data Access Components の脆弱性により、リモートでコードが実行される (2698365)(MS12-045)
MS12-045は、データベースのためのコンポーネント「Microsoft Data Access Components(MDAC)」に脆弱性が存在。特別に細工されたXMLコードを処理してメモリ内の正しく初期化されていないオブジェクトにアクセスされることで、攻撃が行われる。
対象となるのはWindows XP/Vista/7/Server 2003/2008/2008 R2上のMDAC 2.8/6.0で、最大深刻度はXP/Vista「緊急」、それ以外は「警告」。悪用可能性指標は「1」。
Microsoft Visual Basic for Applications の脆弱性により、リモートでコードが実行される (2707960)(MS12-046)
MS12-046は、Officeに含まれるMicrosoft Visual Basic for Applications(VBA)が外部ライブラリをロードするために使用するパスを正しく制限しないため、リモートでコードが実行される脆弱性が存在する。
すでにインターネット上で情報が公開されており、この脆弱性を悪用した標的型攻撃を確認しているという。
対象となるのはOffice 2003/2007/2010で、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2718523)(MS12-047)
MS12-047は、Windowsに含まれる2件の特権の昇格に関する脆弱性を解消するもの。このうち1件は、脆弱性の情報がすでにインターネット上に公開されていた。ただし、現時点で悪用された報告はないという。
対象となるのはWindows XP/Vista/7/Server 2003/2008で、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
TLS の脆弱性により、情報漏えいが起こる (2655992)(MS12-049)
MS12-049は、TLSプロトコルに存在する脆弱性で、暗号ブロックチェーン(CBC)モードの処理を使用する場合のTLSプロトコルに設計上の問題があり、情報が漏えいするというもの。
すでにインターネット上二乗法が公開されていたが、現時点で悪用の報告はないという。
対象となるのはWindows XP/Vista/7/Server 2003/2008/2008 R2で、最大深刻度は「重要」、悪用可能性指標は「3」となっている。
その他の脆弱性
これに加えて、最大深刻度が「重要」の脆弱性が4件公開されている。公開されているのは以下の通り。
・Windows シェルの脆弱性により、リモートでコードが実行される (2691442)(MS12-048)
・SharePoint の脆弱性により、特権が昇格される (2695502)(MS12-050)
・Microsoft Office for Mac の脆弱性により、特権が昇格される (2721015)(MS12-051)
このうち、MS12-051は一般に情報が公開されていたが、悪用は確認されていないという。
