Video Screencast Help
Security Response

マイクロソフト月例パッチ(Microsoft Patch Tuesday)- 2012 年 9 月

Created: 12 Sep 2012 03:04:13 GMT • Translations available: English
Candid Wueest's picture
0 0 Votes
Login to vote

今月のマイクロソフトパッチリリースブログをお届けします。今月は、2 件の脆弱性を対象として 2 つのセキュリティ情報がリリースされています。「緊急」レベルの脆弱性はありません。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 9 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-sep

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS12-061 Visual Studio Team Foundation の脆弱性により、特権が昇格される

    XSS の脆弱性(CVE-2012-1892)MS の深刻度: 重要

    Visual Studio Team Foundation Server にクロスサイトスクリプティング(XSS)の脆弱性が存在するため、攻撃者は Internet Explorer など TFS の Web アクセスを利用する任意の Web ブラウザのユーザーインスタンスに、クライアント側スクリプトをインジェクトできるおそれがあります。このスクリプトは、コンテンツの詐称、情報の漏えい、またはユーザーが実行できる任意のアクションを、標的となったユーザーに代わってサイトで実行できる可能性があります。

  2. MS12-062 System Center Configuration Manager の脆弱性により、特権が昇格される

    折り返し型 XSS の脆弱性(CVE-2012-2536)MS の深刻度: 重要

    System Center Configuration Manager に存在するクロスサイトスクリプティング(XSS)の脆弱性により、生成されるページのユーザーにコードをインジェクトできるため、リンクをクリックしたユーザーのコンテキストで、攻撃者が制御するコードを実行されるおそれがあります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。