マイクロソフト 6月のセキュリティ情報 |
日本マイクロソフトは13日、毎月提供しているセキュリティ更新プログラム(月例パッチ)の6月分を公開した。7件の脆弱性情報が公表されており、危険度の大きさを表す最大深刻度が最も高い「緊急」が3件、2番目の「重要」が4件となっている。すでにインターネット上での悪用が確認されている脆弱性もあり、対象となるユーザーはWindows Updateなどから早急にパッチを適用する必要がある。
リモート デスクトップの脆弱性により、リモートでコードが実行される (2685939)(MS12-036)
MS12-036は、Windowsでリモートデスクトップ機能を実現するRDP(リモートデスクトッププロトコル」に脆弱性が存在し、特別に細工された一連のパケットの処理に問題があるため、リモートでコードが実行される危険性がある。
対象となるのはWindows XP/Vista/7/Server 2003/Server 2008で、最大深刻度は「緊急」、悪用しやすさを示す悪用可能性指標は「1」となっている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (2699988)(MS12-037)
MS12-037は、Internet Explorerに含まれる複数の脆弱性を解消するもので、以下の13件の脆弱性が含まれる。
- Center 要素のリモートでコードが実行される脆弱性
- HTML のサニタイズの脆弱性
- EUC-JP 文字エンコードの脆弱性
- Null バイトの情報漏えいの脆弱性
- 開発者ツールバーのリモートでコードが実行される脆弱性
- Same ID プロパティのリモートでコードが実行される脆弱性
- Col 要素のリモートでコードが実行される脆弱性
- Title 要素変更のリモートでコードが実行される脆弱性
- OnBeforeDeactivate イベントのリモートでコードが実行される脆弱性
- insertAdjacentText のリモートでコードが実行される脆弱性
- insertRow のリモートでコードが実行される脆弱性
- OnRowsInserted イベントのリモートでコードが実行される脆弱性
- Scrolling イベントの情報漏えいの脆弱性
このうち、「Same ID プロパティのリモートでコードが実行される脆弱性」で限定的な攻撃を確認しているほか、「Scrolling イベントの情報漏えいの脆弱性」は一般に公開されており、至急の対策が必要だろう。
対象となるのはInternet Explorer 6/7/8/9。バージョンとOSの組み合わせによって危険度は異なるが、全体として最大深刻度は「緊急」、悪用可能性指標は最大で「1」となっている。
.NET Framework の脆弱性により、リモートでコードが実行される (2706726)(MS12-038)
MS12-038は、.NET Frameworkによって関数ポインターが正しく実行されないことで、リモートでコードが実行される脆弱性が存在する。
対象となるのはWindows XP/Vista/7/Server 2008/2008 R2で、最大深刻度は「緊急」、悪用可能性指標は「1」。
最大深刻度「重要」の脆弱性
これに加えて、最大深刻度が「重要」の脆弱性が4件公開されている。公開されているのは以下の通り。
・Lync の脆弱性により、リモートでコードが実行される (2707956)(MS12-039)
・Microsoft Dynamics AX エンタープライズ ポータルの脆弱性により、特権が昇格される (2709100)(MS12-040)