今月、Microsoftは34件の脆弱性を修正しました。これらの脆弱性の中には、非常に危険で、悪用可能性が1とされているものもいくつかあります。Appleは、攻撃者が個人情報や機密情報を入手する可能性のある複数の脆弱性を修正するMac OS Xのアップデートをリリースしました。また、Adobeは今月、ColdFusionやLiveCycleを含む多数のAdobe製品に存在した複数の脆弱性を修正する、異例の数のパッチをリリースしました。
マイクロソフトのパッチ火曜日
今月の火曜日のパッチでは、MicrosoftはWindows、.NET Framework、Internet Explorerなど、あらゆるプラットフォームの脆弱性に対処する16件のセキュリティ情報を公開しました。パッチ火曜日のアップデートのうち9件は「緊急」、残りは「重要」と評価されています。
Microsoft はすべての更新プログラムをインストールすることを推奨していますが、優先順位を付けたり手動でダウンロードしたりする必要がある場合は、Microsoft が優先度 1 の問題として指定した 4 つの重要な更新プログラムを最初にダウンロードすることを提案しています。
緊急と評価された更新プログラムMS11-050はInternet Explorerに影響し、優先度1の問題の一つです。また、この脆弱性の悪用可能性評価は1です。つまり、悪用される危険性が最も高い脆弱性です。この更新プログラムだけで11件の脆弱性が修正されます。そのうち最も深刻な脆弱性は、Internet Explorerで悪用されたWebページを閲覧した場合、攻撃者によるリモートコード実行を許す可能性があります。
もう一つの重大なアップデートはMS11-052で、脆弱性評価が1です。これは、分散ファイルサーバー(DFS)における2つの脆弱性を解決します。DFSは、ネットワーク上にファイルを保存できるMicrosoftのサービスです。これらの脆弱性は、攻撃者が悪用した場合、リモートコード実行の可能性があります。
いつものように、Windows Update を使用してできるだけ早くこれらの更新プログラムをインストールしてください。各更新プログラムの詳細と手動でダウンロードするには、Microsoft のセーフティとセキュリティ センターをご覧ください。
Apple、Mac OS Xをアップデート
Appleは今月、Mac OS X v10.5.8およびMac OS X v10.6~v10.6.7向けのアップデートを複数リリースしました。公開された脆弱性により、攻撃者がシステム上でコードを実行したり、アプリケーションが予期せず終了したり、アプリケーションがサービス拒否攻撃を受けたりする可能性があります。
Appleは、Mac OS X v10.6~v10.6.7およびMac OS X Server v10.6~v10.6.7の証明書信頼ポリシーを更新しました。公開された脆弱性により、検証プロトコルの処理エラーにより、攻撃者がユーザーの認証情報やその他の機密情報を傍受できる可能性があります。
Appleは、Mac OS X ServerのFTPシステムにもアップデートを行いました。このアップデートは、FTPアクセスを持つ第三者がシステム上のファイル(共有されていないファイルも含む)を一覧表示できるというエラーが発生したためです。ファイルの内容は公開されていませんが、セキュリティ上の問題となる可能性があります。
Appleのサブスクリプション型オンラインサービスおよびソフトウェアであるMobileMeがアップデートされ、安全でないHTTP経由で動作していたため、「特権ネットワークポジション」を持つ攻撃者がユーザーのメールエイリアスを閲覧できる脆弱性が修正されました。Appleは、SSL(Secure Sockets Layer)というセキュリティプロトコルを使用することでこの問題を修正しました。
いつものように、これらのアップデートはできるだけ早くインストールしてください。各アップデートの詳細や手動でダウンロードするには、Apple サポートをご覧ください。
複数のAdobeパッチ
Adobe は今月、Adobe Flash Player、ColdFusion、LiveCycle、BlazeDS、Reader、Acrobat、Shockwave Player の脆弱性を修正する 6 つのセキュリティ アップデートをリリースしました (これらのうちいくつかが何であるかご存じない場合は、おそらく影響はありません)。
今月、AdobeはAdobe Flash Playerの2つのアップデートをリリースしました。1つは重要、もう1つは緊急と評価されています。Adobeによると、CVE-2011-2107は「Windows、Macintosh、Linux、Solaris版Flash Player 10.3.181.16以前のバージョン、およびAndroid版Adobe Flash Player 10.3.185.22以前のバージョン」の脆弱性に対処するもので、重要度は「重要」です。悪意のあるサイトにアクセスした場合、攻撃者がユーザーに代わってウェブサイトやウェブメールプロバイダーで操作を行う可能性があり、実質的にはハッキングに相当します。
CVE-2011-2107と同様の脆弱性(重要度)が、ColdFusion 9.0.1(高速アプリケーション開発プラットフォーム)およびそれ以前のWindows、Macintosh、UNIX版にも発見されました。これらの脆弱性により、ユーザーはユーザーのIDを偽装することが可能となります。
Adobe Reader 10.0.1 以前(Windows)、Adobe Reader 10.0.3 以前(Mac)、Adobe Acrobat 10.0.3 以前(Windows および Mac)に、アプリケーションのクラッシュを引き起こし、攻撃者にシステムを制御される可能性のある重大な脆弱性が見つかりました。また、Adobe は、Adobe Shockwave Player 11.5.9.620 以前(Windows および Mac)に存在していた、攻撃者がシステム上で悪意のあるコードを実行する可能性のある脆弱性を修正しました。
いつものように、これらの更新プログラムはできるだけ早くインストールしてください。各更新プログラムの詳細と手動でダウンロードするには、「セキュリティ情報とアドバイザリ」をご覧ください。
Twitter と Stumble Upon で James Mulroy をフォローして、微生物、恐竜、デスレイに関する最新ニュースを入手してください。
