今月のマイクロソフトパッチリリースブログをお届けします。今月は、2 件の脆弱性を対象として 2 つのセキュリティ情報がリリースされています。「緊急」レベルの脆弱性はありません。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 9 月のリリースに関する概要は、次のページで公開されています。 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-sep
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS12-061 Visual Studio Team Foundation の脆弱性により、特権が昇格される
XSS の脆弱性(CVE-2012-1892)MS の深刻度: 重要
Visual Studio Team Foundation Server にクロスサイトスクリプティング(XSS)の脆弱性が存在するため、攻撃者は Internet Explorer など TFS の Web アクセスを利用する任意の Web ブラウザのユーザーインスタンスに、クライアント側スクリプトをインジェクトできるおそれがあります。このスクリプトは、コンテンツの詐称、情報の漏えい、またはユーザーが実行できる任意のアクションを、標的となったユーザーに代わってサイトで実行できる可能性があります。
MS12-062 System Center Configuration Manager の脆弱性により、特権が昇格される
折り返し型 XSS の脆弱性(CVE-2012-2536)MS の深刻度: 重要
System Center Configuration Manager に存在するクロスサイトスクリプティング(XSS)の脆弱性により、生成されるページのユーザーにコードをインジェクトできるため、リンクをクリックしたユーザーのコンテキストで、攻撃者が制御するコードを実行されるおそれがあります。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。