Microsoft Windowsは、マイクロソフトによってリリースされた非常に人気のあるオペレーティングシステムです。 Microsoft Windowsが提供するMFCコンポーネントにリモートでコードが実行される脆弱性が存在します。ユーザーがRTFファイル内の不正な形式の埋め込みOLEオブジェクトと対話すると、メモリが破損し、ユーザーのシステムで任意のコードが実行される可能性があります。マイクロソフトは米国時間11日、Windows、Windows Server、Officeおよびその他のソフトウェアの15件の脆弱性を修正した11月のセキュリティパッチアップデートをリリースしたと報じられている。 。
11月、マイクロソフトは6か月のセキュリティ情報をリリースしました。そのうち3つは最も高い重要度レベルであり、他の3つは重要なレベルで、WindowsとOfficeスイートの多数の脆弱性を修復します。
これらの15個のセキュリティ情報では、MS09-065のアナウンスが最も重要なものとなっていますWindowsカーネルの脆弱性のうち1つがWindowsカーネルの埋め込みOpenTypeフォントの解析に影響を与える可能性があります。マイクロソフトが発表する前に、この脆弱性が一般に知られていたため。
Shavlik Technologiesのデータおよびセキュリティチームの責任者、Jason Millerは、攻撃者がこの脆弱性を悪用して悪意のあるコードをリモートで実行し、埋め込みフォントを使用して悪意のあるWebページを作成する可能性があると述べています。
さらに、MS09-063のセキュリティ情報で、Windows VistaおよびWindows Server 2008の、Devices API（WSDAPI）のWebサービスに影響を与える可能性がある脆弱性が修正されています。
最後に、Windows 2000で非公開で報告された脆弱性に対処するMS09-064のセキュリティ情報もあります。これにより、攻撃者は任意のコードをリモートで実行し、この脆弱性を悪用することができます。被害者のシステムは完全に制御することができます。
以下は、マイクロソフトが発表した11月のセキュリティ情報の詳細です。
＃1、発表番号：MS09-063（KB973565）
詳細：MS09-063のセキュリティ情報は、WindowsオペレーティングシステムのWebサービスを解決します。密かに報告されたデバイスアプリケーションプログラミングインターフェイス（WSDAPI）の脆弱性。この脆弱性により、影響を受けるWindowsシステムが特別に細工されたパケットを受信すると、攻撃者が任意のコードをリモートで実行する可能性があります。ただし、ローカルサブネット上の攻撃者だけがこの脆弱性を悪用することができます。
セキュリティレベル：緊急 - 影響を受けるソフトウェア：32ビットおよび64ビットのWindows Vista SP2 /Server 2008 SP2