2011年2月4日
そのうち1件で最新のWindowsゼロデイ脆弱性を修正か?
昔は、マイクロソフトはパッチデイで数件のセキュリティ情報をリリースするだけだったが、今月はそうではない。
今月の事前通知によると、マイクロソフトは12件のセキュリティ情報を来週火曜日、2月8日にリリースする予定だ。そのうち10件は、Windows(または一緒に出荷されるコンポーネント)のセキュリティ脆弱性を修正し、1件はInternet Explorer(IE)の脆弱性に対応し、そして残りの1件はOfficeの脆弱性を修正する。マイクロソフトは、3件を「緊急」と評価し、残りは「重要」とのこと。
関連するトピックで、先月マイクロソフトはセキュリティアドバイザリー(同社のパッチされていないセキュリティ問題に対する事前通知)をリリースし、その中でWindowsのウェブ関連の脆弱性を説明した。この脆弱性は、HTMLおよびMIME(通常では画像、音声、動画など)コンテンツが一つのファイルに含まれている特別なウェブページを処理するWindows MHTMLまたはMIME HTMLコンポーネントと関連している。もし攻撃者が特別に細工されたウェブページに誘導する、または不正なリンクをクリックさせることができれば、XSS(クロスサイトスクリプティング)脆弱性を悪用するのと同じように、ユーザのクッキーを盗んだり、ウェブブラウザを不正サイトへ移動させたりと、結果的にはウェブ上で行える行動を勝手に行えるようになってしまう。
マイクロソフトはこの問題に対応するパッチをリリースしていないが、来週火曜日のパッチデイにリリースされることを私は期待している。それまでに、アドバイザリーの「Suggested Actions」セクションをチェックして、この未対応問題のリスクを最低限にするFixItソリューションを参照することを勧める。
マイクロソフトがこのMHTMLパッチを次週のパッチデイに含めるかにかかわらず、IT部門はテストと導入で丸一日のスケジュールを空けておくようにアドバイスする。12件のセキュリティ情報があるため、Windowsネットワークを最新状況にアップデートするには時間がかかるだろう。
来週の火曜日には、詳細が分かるだろう。分かり次第、ここでアラート情報を配信予定だ。
Corey Nachreiner, CISSP
【原文】
Microsoft delivers a dozen security bulletins this month
http://watchguardsecuritycenter.com/2011/02/04/microsoft-delivers-a-dozen-security-bulletins-this-february/
