報道によれば、米Microsoftは2月9日、「Windows 7とWindows Server 2008 R2のService Pack(SP)1が完成した」ことを明らかにした。
同社はSP1を提携先メーカーにリリースしており、2月16日からMSDNおよびTechNetに登録している技術者向けに、22日(日本では23日)に一般向けに提供開始する。
Windows 7のSP1は、既にWindows Updateで配信されたアップデートなどマイナーアップデートが中心で、Windows Server R2 SP1に導入される新しい仮想化機能「RemoteFX」「Dynamic Memory」のサポートも盛り込んでいる。
また、米Microsoftは2月8日、12件の月例セキュリティ情報を公開した。
このうち3件が深刻度の最も高い緊急レベル、残る9件が重要レベルとなる。
緊急レベルの3件のうち、Internet Explorer(IE)の累積的なセキュリティ更新プログラム(MS11-003)では4件の脆弱性に対処した。
特にCSSメモリ破損の脆弱性はMicrosoftが12月にアドバイザリーで注意を呼び掛けていたもので、限定的な攻撃も確認されている。
Windowsシェルのグラフィック処理に関する脆弱性(MS11-006)も、Microsoftが1月にアドバイザリーを出していたもので、Windows XP/Vista/Server 2003/Server 2008に深刻な影響を及ぼす。
ただしこの問題を突いた攻撃は確認されていない。
Windows OpenType Compact Font Format(CFF)ドライバの脆弱性(MS11-007)は非公開で報告された問題となる。
サポート対象の全Windowsが影響を受けるが、特にWindows Vista/Windows 7/Server 2008/Server 2008 R2の危険度が高くなっている。
以上3件について、Microsoftは最優先で更新プログラムを適用して脆弱性を解決するよう勧告している。
IEの脆弱性とWindowsシェルの脆弱性については、悪用可能性指標も最も高い「1」となっている。
一方、重要レベルの9件では、Internet Information Services(IIS)のFTPサービスの脆弱性、Active Directoryの脆弱性、Visioの脆弱性、JScriptおよびVBScriptスクリプトエンジンの脆弱性、Windowsクライアント/サーバランタイムサブシステムの脆弱性、Windowsカーネルの脆弱性、Windowsカーネルモードドライバの脆弱性、Kerberosの脆弱性、Local Security Authority Subsystem Service(LSASS)の脆弱性にそれぞれ対処した。
このうちIISの脆弱性(MS11-004)についてはコンセプト実証コード(PoC)が出現しており、セキュリティ機関のSANS Internet Storm Centerは最優先で適用を勧告している。
さらに、Active Directoryの脆弱性(MS11-005)、Windowsカーネルの脆弱性(MS11-011)、Kerberosの脆弱性(MS11-013)についても事前に情報が公開されていた。
加えて、今月は月例セキュリティ更新プログラムと併せて、マルウェアなどに悪用されているAutorunの動作を変更して悪用されにくくするためのアップデートの配信が開始された。
これまで同アップデートはDownload Centerを通じて提供していたが、さらに幅広いユーザーに届けるために、「セキュリティ以外の優先度の高い更新プログラム」としてWindows Update経由で配信されている。
Windows Updateをまだ行っていないユーザーは、すぐにアップデートしておこう。