今月のマイクロソフトパッチリリースブログをお届けします。今月のパッチリリースは規模が大きく、40 件の脆弱性を対象として 17 のセキュリティ情報がリリースされています。

このうち 8 件が「緊急」レベルであり、Internet Explorer と OpenType フォント（OTF）フォーマットドライバがその影響を受けます。その他は「重要」または「警告」レベルであり、Publisher、Office、SharePoint、Windows、Windows カーネル、Exchange、Hyper-V がその影響を受けます。このパッチリリースには、Stuxnet が悪用していた脆弱性で最後に残っていた Windows タスクスケジューラに関する問題の修正も含まれています。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

-     ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。

-     ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。

-     未知の、または疑わしいソースからのファイルは扱わない。

-     整合性が未知の、または疑わしいサイトには絶対にアクセスしない。

-     特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。
 
マイクロソフトの 12 月のリリースに関する概要は、次のページで公開されています。

http://www.microsoft.com/japan/technet/security/bulletin/ms10-dec.mspx

今月のパッチで対処されている「緊急」レベルの問題について、詳しい情報を以下に示します。

1. MS10-090 Internet Explorer 用の累積的なセキュリティ更新プログラム（2416400）

CVE-2010-3340（BID 45255）Microsoft Internet Explorer の初期化されていないオブジェクト（CVE-2010-3340）にメモリ破損の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく初期化されていないオブジェクトまたは削除されたオブジェクトを処理するときの Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
対象: Internet Explorer 6、7

CVE-2010-3342（BID 45256）Microsoft Internet Explorer（CVE-2010-3342）にクロスドメインの情報漏えいの脆弱性（MS の深刻度: 警告/シマンテックの重大度: 5.7/10）

キャッシュされたコンテンツをドメインを越えて HTML としてレンダリングするときの処理が不適切なために Internet Explorer に影響する、クロスドメインの情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページにアクセスするよう誘き寄せる場合があります。悪用されると、潜在的に重要な情報が漏えいしてしまいます。漏えいした情報は、さらに別の攻撃に利用されることがあります。
対象: Internet Explorer 6、7、8

CVE-2010-3343（BID 45259）Microsoft Internet Explorer の初期化されていないオブジェクト（CVE-2010-3343）にメモリ破損の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく初期化されていないオブジェクトまたは削除されたオブジェクトを処理するときの Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
対象: Internet Explorer 6

CVE-2010-3345（BID 45260）Microsoft Internet Explorer の初期化されていない HTML 要素（CVE-2010-3345）にメモリ破損の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく初期化されていないオブジェクトまたは削除されたオブジェクトを処理するときの Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
対象: Internet Explorer 8

CVE-2010-3346（BID 45261）Microsoft Internet Explorer の初期化されていない HTML 要素（CVE-2010-3346）にメモリ破損の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 7.1/10）

正しく初期化されていないオブジェクトまたは削除されたオブジェクトを処理するときの Internet Explorer に影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
対象: Internet Explorer 6、7、8

CVE-2010-3348（BID 45263）Microsoft Internet Explorer（CVE-2010-3348）にクロスドメインの情報漏えいの脆弱性（MS の深刻度: 警告/シマンテックの重大度: 5.7/10）

キャッシュされたコンテンツをドメインを越えて HTML としてレンダリングするときの処理が不適切なために Internet Explorer に影響する、クロスドメインの情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページにアクセスするよう誘き寄せる場合があります。悪用されると、潜在的に重要な情報が漏えいしてしまいます。漏えいした情報は、さらに別の攻撃に利用されることがあります。
対象: Internet Explorer 6、7、8

CVE-2010-3962（BID 44536）Microsoft Internet Explorer の CSS タグにリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 8.3/10）

特定の組み合わせで CSS（Cascading Style Sheet）タグを格納するときの Internet Explorer にリモートコード実行の脆弱性があり、解放後使用の状態になることが知られています（2010 年 11 月 3 日）。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なコンテンツの含まれる Web ページを閲覧させるよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、現在ログインしているユーザーのコンテキストで実行されてしまいます。
対象: Internet Explorer 6、7、8

2. MS10-091 OpenType フォント（OTF）フォーマットドライバの脆弱性により、リモートでコードが実行される（2296199）

CVE-2010-3956（BID 45311）Microsoft Windows OpenType フォント（OTF）ドライバの無効な配列インデックスに、リモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 8.2/10）

特別に細工された OpenType フォントを処理するときの Windows OpenType（OTF）フォーマットドライバに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なフォントの埋め込まれている Web ページや電子メールを閲覧させたり、ファイルを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルモードで実行されてしまいます。これによって、対象となったコンピュータが完全に危殆化する場合があります。
対象: Windows XP SP3、Windows XP Professional x64 Edition SP2、Windows Server 2003 SP2、Windows Server 2003 x64 Edition SP2、Windows Server 2003 with SP2 for Itanium-based Systems、Windows Vista SP1、Windows Vista SP2、Windows Vista x64 Edition SP1、Windows Vista x64 Edition SP2、Windows Server 2008 for 32-bit Systems、Windows Server 2008 for 32-bit Systems SP2、Windows Server 2008 for x64-based Systems、Windows Server 2008 for x64-based Systems SP2、Windows Server 2008 for Itanium-based Systems、Windows Server 2008 for Itanium-based Systems SP2、Windows 7 for 32-bit Systems、Windows 7 for x64-based Systems、Windows Server 2008 R2 for x64-based Systems、Windows Server 2008 R2 for Itanium-based Systems

CVE-2010-3957（BID 45315）Microsoft Windows OpenType フォント（OTF）ドライバに、ダブルフリーによるリモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 8.2/10）

特別に細工された OpenType フォントを処理するときの Windows OpenType（OTF）フォーマットドライバに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なフォントの埋め込まれている Web ページや電子メールを閲覧させたり、ファイルを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルモードで実行されてしまいます。これによって、対象となったコンピュータが完全に危殆化する場合があります。
対象: Windows XP SP3、Windows XP Professional x64 Edition SP2、Windows Server 2003 SP2、Windows Server 2003 x64 Edition SP2、Windows Server 2003 with SP2 for Itanium-based Systems、Windows Vista SP1、Windows Vista SP2、Windows Vista x64 Edition SP1、Windows Vista x64 Edition SP2、Windows Server 2008 for 32-bit Systems、Windows Server 2008 for 32-bit Systems SP2、Windows Server 2008 for x64-based Systems、Windows Server 2008 for x64-based Systems SP2、Windows Server 2008 for Itanium-based Systems、Windows Server 2008 for Itanium-based Systems SP2、Windows 7 for 32-bit Systems、Windows 7 for x64-based Systems、Windows Server 2008 R2 for x64-based Systems、Windows Server 2008 R2 for Itanium-based Systems

CVE-2010-3959（BID 45316）Microsoft Windows OpenType フォント（OTF）ドライバの CMAP テーブルに、リモートコード実行の脆弱性（MS の深刻度: 緊急/シマンテックの重大度: 8.2/10）

特別に細工された OpenType フォントを処理するときの Windows OpenType（OTF）フォーマットドライバに影響する、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、無警戒なユーザーを狙って、悪質なフォントの埋め込まれている Web ページや電子メールを閲覧させたり、ファイルを開いたりするよう誘き寄せる場合があります。悪用されると、攻撃者が組み込んだ任意のコードが、カーネルモードで実行されてしまいます。これによって、対象となったコンピュータが完全に危殆化する場合があります。
対象: Windows XP SP3、Windows XP Professional x64 Edition SP2、Windows Server 2003 SP2、Windows Server 2003 x64 Edition SP2、Windows Server 2003 with SP2 for Itanium-based Systems、Windows Vista SP1、Windows Vista SP2、Windows Vista x64 Edition SP1、Windows Vista x64 Edition SP2、Windows Server 2008 for 32-bit Systems、Windows Server 2008 for 32-bit Systems SP2、Windows Server 2008 for x64-based Systems、Windows Server 2008 for x64-based Systems SP2、Windows Server 2008 for Itanium-based Systems、Windows Server 2008 for Itanium-based Systems SP2、Windows 7 for 32-bit Systems、Windows 7 for x64-based Systems、Windows Server 2008 R2 for x64-based Systems、Windows Server 2008 R2 for Itanium-based Systems

今回取り上げた以外のものも含め、今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。