Microsoft、12月の月例更新は2008年最大の規模

この12月、Microsoft はユーザーに早めのプレゼントを用意している。2008年で最大規模のセキュリティ更新情報を贈り物だとみなせればの話だが。

同社は9日、12月の月例更新を実施した。今回の更新は規模が大きく、公開されたセキュリティ情報は4件で、合計28件の脆弱性に対応している。

Web ブラウザの『Internet Explorer』 (IE) は、セキュリティ情報「MS08-073」で深刻度が最大の「緊急」となっている脆弱性が4件も指摘された。1つ目の「パラメータ検証のメモリの破損に関する脆弱性」(CVE-2008-4258) は、IE の Web ナビゲーション方法における欠陥を突いたものだ。

Microsoft のセキュリティ情報によれば、攻撃者は特別に細工した Web ページを作成してこの脆弱性を悪用する可能性があり、無防備なユーザーがそのページを訪れると、リモートでコードが実行される可能性があるという。

Microsoft が IE で対応した2つ目の脆弱性は「HTML オブジェクトのメモリの破損に関する脆弱性」(CVE-2008-4259) で、これは、ある条件下で IE が初期化されていないメモリにアクセスしようとするため、リモートでコードを実行されるおそれがあるというものだ。

Microsoft はこのほか、削除されたオブジェクトに IE がアクセスする方法に存在する問題から生じる「初期化されていないメモリの破損に関する脆弱性」(CVE-2008-4260)、および、IE が Web ページにオブジェクトを埋め込む方法に存在するセキュリティホールによる「HTML レンダリングのメモリの破損に関する脆弱性」(CVE-2008-4261) にも対応した。

IE の脆弱性に加え、セキュリティ情報「MS08-070」では『Microsoft Visual Basic 6.0』ランタイム拡張ファイルの『ActiveX』コントロールに影響する5つの脆弱性にも対応した。ActiveX は動的な機能を実現するメカニズムとして、IE や多くの Web サイトで広く利用されている。

『Windows Search』ユーザーは、今月出された2件のセキュリティ更新に注意を払う必要がある。この問題に関するセキュリティ情報「MS08-075」によれば、悪意を持って作成された保存済み検索ファイルを『Windows Explorer』で開いたり、保存したり、あるいはクリックしたりした場合、攻撃者に PC の制御を奪われる可能性があるという。

12月のセキュリティ情報には『Microsoft Office』に関するものも多い。セキュリティ情報「MS08-072」では、『Microsoft Office Word』と『Microsoft Office Outlook』について8件の脆弱性に対応している。これらの脆弱性はメモリの破損に関するものとオブジェクトの解析に関するものに大別され、攻撃者によるリモート攻撃に悪用されるおそれがある。