Microsoft、7月の月例パッチを公開−TrueType フォントと IE の脆弱性に対応
米国 Microsoft が7月のセキュリティ情報7件を公開した。7件のうち6件が深刻度の最も高い「緊急」レベルとなっており、同社ソフトウェアポートフォリオ全体に渡る少なくとも34件の脆弱性に対応している。

今回の月例パッチでも、Internet Explorer(IE)向けの修正が全体のかなりの部分を占めており、MS13-055 アドバイザリでは、少なくとも17件の IE の脆弱性に対応している。

これについて、Tripwire のセキュリティリサーチャー Craig Young 氏は次のように警告している。

「IE 向けのパッチは、7月の月例パッチ全体のちょうど半分を占めている。17件のうち、16件はメモリ破損の脆弱性に対応したもの。Microsoft は今後30日間は、これらの脆弱性が悪用される可能性が高まると警戒している」

Microsoft は6月の月例パッチでも、19件の IE 脆弱性に対応していた。

TrueType フォントの脆弱性

MS13-055 アドバイザリでは、TrueType フォントの脆弱性にも対応している。CORE security のテクニカルサポートエンジニアである Tommy Chin 氏は、すべての Windows システムは、TrueType フォントファイルを持っていることに触れた。アタッカーは、ソーシャルエンジニアリング攻撃を用いて、悪意のある TrueType コンテンツを含む細工されたファイルを利用者に表示させることが可能だ。

「攻撃に成功した場合、アタッカーは感染したシステムにアクセスできるだけでなく、遠隔地からコードの実行が可能になる。このタイプの脆弱性は、知的ソフトウェア資産の漏洩などを引き起こしうる」

アプリストアポリシーの変更

セキュリティアドバイザリに加えて、Microsoft は Windows Store、Windows Phone Store、Office Store、Azure Marketplace のアプリに対する新たなポリシーも発表した。Microsoft の Dustin Childs 氏は、公式 Blog で新ポリシーを次のように説明している。

「開発者は、『緊急』または『重要』レベルの脆弱性が通知された場合、180日以内にアプリをアップデートして送信することが要求される。これは、アプリの脆弱性が突かれていない場合だ。脆弱性が悪用されている場合は、Microsoft は開発者と協働してアプリをできるだけ早くアップデートするか、またはアプリストアから削除する」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。