マイクロソフトは、毎月第2火曜日(日本時間同水曜日)に公開しているセキュリティ修正パッチの12月分を公開した。Internet Explorerの複数の脆弱性やすでに悪用されているVisual Studioの脆弱性などを解消する。修正パッチは、危険度を示す最大深刻度がもっとも高い「緊急」が3件、2番目の「重要」が4件となっている。

米Microsoft Security Response Centerはブログで、Mac版のOffice v. X for Macのセキュリティ更新プログラムと、Office 2004 for Mac 11.3.1更新プログラムが、人的ミスによって誤った公開されたことを明らかにしている。
同社は更新プログラムをインストールしたユーザーに、アンインストールすることを推奨している。

「Internet Explorer 用の累積的なセキュリティ更新プログラム (925454) (MS06-072)」は、IEに含まれる4件の脆弱性を修正する。メモリ破損による任意のコード実行を許し、コンピュータが完全に制御されてしまうなど危険な脆弱性も含まれ、最大深刻度は全体で「緊急」。

対象となるのはWindows 2000 SP4上のIE5.01 SP4、同IE6 SP1、Windows XP SP2/Server 2003上のIE6で、最新のIE7にこの脆弱性は存在しない。

なお、いずれの脆弱性も一般には知られておらず、悪用された形跡もない、という。

「Visual Studio 2005 の脆弱性により、リモートでコードが実行される (925674) (MS06-073)」は、すでに11月には悪用が確認されていた既知の脆弱性で、開発ソフトVisual Studio 2005のWMI Object Brokerコントロールにリモートでコードが実行される脆弱性が存在、コンピュータの完全な制御が奪われる可能性がある。最大深刻度は「緊急」。

対象となるのはVisual Studio 2005 Standard Edition / Professional Edition / Team Suite / Team Edition for Developers / Team Edition for Architects / Team Edition for Testers。

「Windows Media Format の脆弱性により、リモートでコードが実行される (923689) (MS06-078)」は、Windows Media Player(WMP)がファイルを処理するためのWindows Media Formatランタイムに2種類の脆弱性があり、リモートでコードが実行される、というもの。

一方の脆弱性はインターネット上にすでに情報が出回っているものだが、現時点では悪用の報告はないという。

対象となるのはWMP6.4、Windows 2000 SP4 / XP / Server 2003。最大深刻度は「緊急」だ。

これに加えて最大深刻度「重要」の脆弱性として以下の4つがある。

1. WindowsのCSRSS(Client Server Run Time Subsystem)のマニフェスト ファイルに脆弱性が存在、ローカルユーザーが管理者権限を奪取する特権の昇格の脆弱性(MS06-075)
2. Windowsアドレス帳(.wabファイル)に未チェックのバッファがあり、任意のコードが実行されてコンピュータの完全な制御が奪われる脆弱性(MS06-076)
3. ネットワーク管理プロトコル(SNMP)サービスに未チェックのバッファが含まれ、任意のコードが実行される脆弱性(MS06-074)
4. 遠隔からWindowsの起動を可能にするRIS(Remote Install Service)にTFTPから匿名アクセスすることでリモートでコードが実行される脆弱性(MS06-077)

また、現時点でMicrosoft Wordに2種類の脆弱性が発見されているが、これらについては今回の月例パッチでは修正されなかった。

同日、マイクロソフトはMac版のOffice v. X for Macのセキュリティ更新プログラムと、Office 2004 for Mac 11.3.1更新プログラムの提供も開始した。

その後、当該ページの更新プログラムは削除されている。

なお、Microsoft Updateと同時に動作してウイルスなどのマルウェアを駆除する「悪意のあるソフトウェアの削除ツール」も更新され、「W32/Beenut」に対応した。