マイクロソフトは14日、月例で提供しているセキュリティ更新プログラムの7月分を発表した。4件の脆弱性が公表されており、特に影響の大きさを示す最大深刻度「緊急」の脆弱性3件は早急なアップデートが推奨されている。
ヘルプとサポート センターの脆弱性により、リモートでコードが実行される (2229593)(MS10-042)
MS10-042は、Windowsでヘルプを提供する「ヘルプとサポートセンター」機能に脆弱性が存在する。同機能では、HCPプロトコルを使い、URLリンクを実行することでヘルプとサポートセンターにアクセスできるが、このURLを適切に検証しないためリモートでコードが実行される危険性があり、Webサイトに掲載されたリンクのクリックによって実行される可能性もある。
すでに6月11日の段階でセキュリティアドバイザリがリリースされており、一般に公開された脆弱性で、悪用も確認されているため、早急なアップデートが必要だ。
最大深刻度は「緊急」で、悪用しやすさを示す悪用可能性指標は、もっとも悪用しやすい「1」。対象となるのはWindows XP、Server 2003となっている。
Canonical Display Driver の脆弱性により、リモートでコードが実行される (2032276)(MS10-043)
MS10-043は、Windowsの描画を行うGDIとDirectXを利用する「Canonical Display Driver(cdd.dll)」に整数オーバーフローの脆弱性が存在。対象となったマシンが動作しなくなり、自動的に再起動するサービス拒否の危険性がある。リモートでのコード実行については理論上は可能だが、それが実行される可能性は低いという。GDI用のAPIを試用するアプリケーションで特別に細工をされた画像ファイルを開くことで攻撃が実行される。
この脆弱性もすでにインターネット上では広まっていたものの、具体的に悪用された事例は確認できていないという。対象となるのはWindows 7 x64、Server 2008 R2 x64。最大深刻度は「緊急」、悪用可能性指標は「2」。
Microsoft Office Access の ActiveX コントロールの脆弱性により、リモートでコードが実行される (982335)(MS10-044)
MS10-044は、Microsoft Office Access用のActiveXコントロールに含まれる2件の脆弱性が存在するというもの。AccessのActiveXコントロールのライブラリを提供する「ACCWIZ.dll」に脆弱性が存在するため、リモートでコードが実行される危険性がある。
対象となるのはOffice 2003に含まれるAccess 2003、Office 2007に含まれるAccess 2007。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Office Outlook の脆弱性により、リモートでコードが実行される (978212)(MS10-045)
MS10-045は、Officeに含まれるOutlookが特別に細工をされたEメールを開く際に、添付ファイルを正しく検証しないことで、任意のコードが実行されるという脆弱性で、メールを開くことで攻撃が行われる。
対象となるのはOffice XP/2003/2007に含まれるOutlook 2002/2003/2007で、最大深刻度は「重要」、悪用可能性指標は「1」となっている。