米Microsoftは8月10日(現地時間)、予告通り過去最多となる14件の月例セキュリティ情報を公開し、
合計34件の脆弱性を解決した。
14件のセキュリティ情報のうち、深刻度が最も高い「緊急」レベルは8件。その中でも「MPEG Layer-3
コーデックの脆弱性」(MS10-052)、「Cinepak Codecの脆弱性」(MS10-055)、「Office Wordの脆弱性」
(MS10-056)、「.NET共通言語ランタイムおよびSilverlightの脆弱性」(MS10-060)の4件については、
最優先で更新プログラムを適用するよう勧告している。
この4件で修正した脆弱性は、いずれも非公開で報告されたものだという。細工を施したメディアファイル
やストリーミングコンテンツ、リッチテキスト形式(RTF)の電子メールなどを使って悪用された場合、
攻撃者にリモートでコードを実行される恐れがある。安定した悪用コードが出現する可能性も高いと
される。
一方、事前に情報が公開されていたのは「セキュリティで保護されたチャネル(SChannel)の脆弱性」
(MS10-049)で、Microsoftが2月にアドバイザリーを出していた。なりすましや中間者攻撃の可能性が
指摘されているが、実際に悪用されたとの報告は入っていないという。
「Internet Explorer(IE)の累積的なセキュリティ更新プログラム」(MS10-053)では、6件の脆弱性を
解決した。Windows 7やWindows Server 2008 R2を含め、サポート対象のほぼ全OSに影響が及ぶ。
また、Microsoft XMLコアサービスの脆弱性」(MS10-051)と「SMBサーバの脆弱性」(MS10-054)も
深刻度は「緊急」レベルだが、悪用可能性指標は1段階低い「2」の評価となっている。
残る6件のセキュリティ情報は、深刻度が上から2番目の「重要」レベルとなる。Windowsカーネルの
更新プログラムも2件含まれている。
月例セキュリティ情報とは別に、Windows Service Isolation機能を使った権限昇格問題に関する
セキュリティアドバイザリーも公開した。想定される攻撃手段や攻撃回避のための方法について解説
している。
http://www.itmedia.co.jp/news/articles/1008/11/news014.html