日本マイクロソフトは12日、9月のセキュリティ更新プログラムを公開した。2件の脆弱性情報が公表されており、危険度の大きさを表す最大深刻度は、いずれも「重要」となっている。また、20日には定例外のInternet Explorerのセキュリティ情報の事前通知が行われた。こちらも合わせて紹介しよう。
Visual Studio Team Foundation Serverの脆弱性により、特権が昇格される(2719584)(MS12-061)
MS12-061は、Visual Studio Team Foundation Serverに存在する脆弱性である。この脆弱性では、電子メール内に細工されたリンクをクリックした場合、もしくはこの脆弱性が悪用されたWebページを表示した場合、特権が昇格される可能性がある。しかし、この操作を強制させる術は、攻撃者にはないとのことだ。そのため、最大深刻度は「重要」となったと思われる。悪用可能性指標は「1」となっている。影響を受けるソフトウェアは、Microsoft Visual Studio Team Foundation Server 2010 Service Pack 1である。
System Center Configuration Managerの脆弱性により、特権が昇格される(2741528)(MS12-062)
MS-062は、Microsoft System Center Configuration Managerに存在する脆弱性である。 ユーザーが、攻撃者によって細工されたURLを使用して影響を受けるWebサイトを閲覧した場合、特権が昇格される可能性がある。しかし、そのWebサイトを強制的に閲覧させる手段はない。最大深刻度は「重要」、悪用可能性指標は「1」となっている。影響を受けるソフトウェアは、Microsoft Systems Management Server 2003 Service Pack 3、Microsoft System Center Configuration Manager 2007 Service Pack 2である。
9月20日に発表されたInternet Explorerのセキュリティ情報の事前通知
図2 Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution |
Internet Explorerにリモートからコード(命令)が実行される脆弱性(KB2757760)が存在する。発表時点では事前通知なので、識別番号が付与されていない。ユーザーをこの脆弱性を悪用した不正なコードが埋め込まれたWebサイトに誘導する。Internet Explorerでこのサイトを閲覧すると、PCを攻撃者に制御される危険性がある。最大深刻度は「緊急」となっている。影響を受けるソフトウェアは、Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9である。
修正プログラムは、9月22日に提供の予定である。当面の対策としては、Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code executionで、[Fix this Problem]を実行する。