Microsoft、10月の月例更新で未対応脆弱性に対応の見通し

Microsoft (NASDAQ:MSFT) は5日、10月の月例更新について先行情報を公開した。発表によると、10日に公開予定の個別セキュリティ情報は11件だという。

公開予定の個別セキュリティ情報の内、『Windows』関連は6件、『Office』関連が4件で、それぞれ少なくとも1件は深刻度が最大の「緊急」のものだ。もう1件は『.NET Framework』に関連するもので、深刻度は4段階中下から2番目の「警告」となっている。

Microsoft が月例更新で公開したセキュリティ情報の件数を、月毎に並べてみると、8月は12件で、9月が3件 (後に1件追加して計4件) に減少していたのだが、今度の月例更新は再び増加ということになる。

今まで通り、Microsoft は先行情報で具体的な修正内容などの詳細を明らかにしていない。ただし、同社が以前に表明した通りならば、Windows 関連としては少なくとも「WebViewFolderIcon ActiveX コントロール」の脆弱性対応が入るだろう。

同社は、先だって公開したセキュリティ勧告「926043」の中で、10月の月例更新において同 ActiveX コントロールの脆弱性に対応予定だと述べていた。同脆弱性は、システム乗っ取りを許しかねないもので、『Windows 2000』『Windows XP』『Windows Server 2003』に存在する。

また、Office 関連で対応する脆弱性としては、9月に見つかった『PowerPoint』の脆弱性対応が入る可能性がある。この問題は、攻撃者の細工した PowerPoint ファイルを開くことで、任意コード実行の恐れがあるというものだ。実際に同脆弱性を突く攻撃が発生していたが、セキュリティベンダーおよび Microsoft は、その危険性を限定的なものと述べていた。

ほかにも、前回の月例更新以後に見つかった未対応脆弱性に、『Vector Markup Language』(VML) の実装コンポーネントの脆弱性があった。ただしこちらは、Microsoft が月例スケジュール外で対応済みだ。

Microsoft の月例更新のタイミングに合わせ、未対応脆弱性の情報や、そうした脆弱性を突く攻撃などが明らかになる傾向が強まっている。同社が月例スケジュール外で対応することは、さほど多くないため、脆弱性の存在が分かってから対応が済むまで、少なくとも1か月かかることが多い。こうした状況を憂慮し、非公式のパッチを公開するサードパーティも現われている。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール