マイクロソフトは10日、月例で提供しているセキュリティ更新プログラムの11月分を発表した。3件の脆弱性が公表されており、影響の大きさを示す最大深刻度「緊急」の脆弱性1件は特に、早急なアップデートが推奨されている。
Microsoft Office の脆弱性により、リモートでコードが実行される (2423930)(MS10-087)
MS10-087は、Microsoft Officeに5件の脆弱性があり、特別に細工されたRTF(Rich Text Format)の電子メールを開いたりプレビューしただけでリモートでコードが実行される危険性がある。
含まれる脆弱性は、RTFデータの解析時にスタックバッファオーバーフローが発生してのメモリ破損、Officeアートの描画でのメモリ破損など、4種類のメモリ破損の脆弱性と、特別に細工されたDLLファイルがメモリにロードされた際にリモートでコードが実行されるという脆弱性が含まれる。特に最後の脆弱性は、情報が一般に公開されていたもので、悪用は確認されていないが、早急なパッチの適用が推奨されている。
対象となるのはOffice XP/2003/2007/2010、Mac版Office 2004/2008/2011、Open XML File Format Converter for Mac。最大深刻度は「緊急」で、悪用しやすさを示す悪用可能性指標は1または2となっている。
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (2293386)(MS10-088)
MS10-088は、Microsoft Officeに含まれるPowerPointに2件の脆弱性が存在し、リモートでコードが実行される危険性があるというもの。特別に細工されたPowerPoint 95ファイルを開く際にバッファオーバーフローが起きる脆弱性と、細工されたPowerPointファイルを開く際に整数アンダーフローによってヒープ破損が引き起こされるというもので、いずれもファイル形式の解析に問題があった。
対象となるのはOffice XP/2003に含まれるPowerPoint 2002/2003、Mac版Office 2004、PowerPoint Viewer 2007で、Office 2004向けのパッチは現在開発中となっている。最大深刻度は「重要」、悪用可能性指標は1または2。
Forefront Unified Access Gateway (UAG) の脆弱性により、特権が昇格される(2316074)(MS10-089)
MS10-089は、企業向けにリモートアクセスサービスを提供するゲートウェイソフト「Forefront Unified Access Gateway(UAG)」に4件の脆弱性が存在する、というもの。なりすましまたは特権の昇格という問題が発生する可能性がある。
Forefront UAGのWebインタフェースが外部Webサイトにリダイレクトする際に検証と確認に失敗する場合に起きるなりすましに加え、3種類のクロスサイトスクリプティング(XSS)の脆弱性を含んでいる。XSSの脆弱性はいずれも特権の昇格が起こる危険性がある。
対象となるのはForefront UAG 2010で、最大深刻度は「重要」、悪用可能性指標はXSSの脆弱性が「1」、なりすましの脆弱性が「3」となっている。