マイクロソフトは2011年1月12日、Windowsに関するセキュリティ情報を2件を公開した。最大深刻度(危険度)は、最悪の「緊急」が1件、上から2番目の「重要」が1件。いずれのセキュリティ情報にも、細工が施されたWebページやファイルを開くだけで、ウイルスに感染するような脆弱性が含まれる。対策は、同日公開されたセキュリティ更新プログラム(修正パッチ)を適用すること。

 今回公開されたセキュリティ情報は以下の2件。

(1)[MS11-002]Microsoft Data Access Componentsの脆弱性により、リモートでコードが実行される(2451910)
(2)[MS11-001]Windows Backup Managerの脆弱性により、リモートでコードが実行される(2478935)

 (1)は、Windowsに含まれる「Microsoft Data Access Components(MDAC)」に関するセキュリティ情報。最大深刻度は「緊急」。現在サポート対象のWindows全て(Windows XP/Server 2003/Vista/Server 2008/7/Server 2008 R2)が影響を受ける。

 MDACとは、データベースにアクセスするためのプログラム集。今回MDACには、データの処理などに関する脆弱性が2件見つかった。悪用されると、細工が施されたWebページにアクセスするだけで、ウイルスに感染するなどの危険性がある。いずれの脆弱性も、今回初めて公表された。第三者による公表や悪用は確認されていない。

 (2)は、Windowsの「Backup Manager」に関するセキュリティ情報。Backup Managerとは、システムを以前の状態に戻す「システムの復元」を実現するためのプログラム。(2)には、Backup Managerに関する脆弱性情報が1件含まれる。影響を受けるのは、Windows Vistaのみ。

 Windows VistaのBackup Managerには、他のプログラムを適切に読み込まない問題が見つかった。このため、特定の種類のファイルを読み込む際に、攻撃者が用意した悪質なプログラム(ウイルスなど)を実行される恐れがある。

 マイクロソフトによれば、この脆弱性は第三者によって既に公表されているものの、脆弱性を悪用した攻撃は報告されていないという。

 いずれの脆弱性についても、対策は修正パッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からも修正パッチをダウンロードできる。

 なお、IE 6/7/8およびWindows XP/Server 2003/Vista/Server 2008には、それぞれ未修正の脆弱性が見つかっているが、それらを修正するパッチは公開されなかった。

 IEおよびWindowsに見つかった未修正の脆弱性は、第三者によって公表されている。マイクロソフトでは、それらの概要や回避策を伝える「セキュリティアドバイザリ」を2010年12月24日と2011年1月5日に公表しているが、修正パッチは現在も未公開。公開は2月以降になる見込みだ。