2011年3月5日
今月のパッチデイは、マイクロソフトが3件のアップデートのみをリリース予定で、軽い内容になりそうだ。
マイクロソフトの事前通知によると、マイクロソフトは2件のWindowsアップデートと1件のOfficeアップデートを3月8日(火)にリリース予定。Windowsアップデートの1件のみ「緊急」であるという。
しかし、先月のパッチデイで我々が指摘したWindowsのゼロデイMHTML脆弱性のパッチはまだ発表されていない。この脆弱性は、WindowsがMHTMLコンテンツが含まれるウェブページを処理するMIME HTML(MHTML)コンポーネントに関連している。もし攻撃者が特別に作成された不正サイトへユーザを誘導できたり、または、不正リンクをクリックすることができれば、攻撃者はこの脆弱性を悪用し、クロスサイトスクリプティング(XSS)脆弱性と同様に、クッキーを盗んだり、不正サイトへブラウザを移動させたりなど、ウェブ上でのコントロールを実行できてしまう。この問題に関して、Windowsアップデートの一つが対応していることを希望する。
アップデート数は少ないが、マイクロソフトのパッチを火曜日中に導入することを推奨する。特に緊急のパッチに関しては、すぐに導入するべきだ。これらのセキュリティ情報に関しては、来週の火曜日に詳細が分かり次第、アラートを発表予定だ。
Corey Nachreiner, CISSP
【原文】
A Trio of Microsoft Updates Make for a Light Patch Day
http://watchguardsecuritycenter.com/2011/03/05/a-trio-of-microsoft-updates-make-for-a-light-patch-day/
