MS、月例セキュリティ情報の公開でIEの脆弱性など修正 XPは対象外に

Internet Explorerの脆弱性のうち1件については「限定的な攻撃」が確認されているという。

[鈴木聖子，ITmedia]

　米Microsoftは5月13日（日本時間14日）、予告通りに8件の月例セキュリティ情報を公開し、Internet Explorer（IE）などに存在する深刻な脆弱性に対処した。サポートが終了したWindows XPとOffice 2003については、今回から更新の対象外となった。

　セキュリティ情報8件のうち、IE用のセキュリティ更新プログラム（MS14-029）と、SharePoint Serverの脆弱性を修正する更新プログラム（MS14-022）の2件は、最大深刻度がMicrosoftの4段階評価で最も高い「緊急」となる。

　IEでは非公開で報告されたリモートからコードを実行されてしまう2件の脆弱性に対処した。このうち1件については、悪用を試みる「限定的な攻撃」が確認されているという。脆弱性はIE 6〜IE 11で確認されており、特にクライアント版は深刻な影響を受ける。

　なお、MS14-029は「累積的な更新プログラム」ではない。このため直近でリリースされたIE向けの累積的な更新プログラムをインストールしていなかった場合、MS14-029の導入によって互換性問題が発生する可能性もあるという。直近の累積的な更新プログラムはIE 6〜10については4月に公開された「MS14-018」、IE 11については3月公開の「MS14-012」となる。

　もう1件の緊急レベルであるSharePoint Serverの更新プログラムでは、Officeサーバソフトウェアとプロダクティビティソフトウェアに存在する3件の脆弱性に対処した。特に深刻度が高いSharePoint Page Contentの脆弱性では、細工を施したページコンテンツをSharePointサーバに送り付けることにより、任意のコードを実行される恐れがある。

　残る6件はいずれも深刻度「重要」の評価で、Office（リモートコード実行）、グループポリシー基本設定（権限昇格）、.NET Framework（権限昇格）、Windowsシェルハンドラ（特権昇格）、iSCSI（サービス妨害）、Microsoftコモンコントロール（セキュリティ機能迂回）の脆弱性にそれぞれ対処した。

　サポートが終了したWindows XPとOffice 2003については、今回のセキュリティ情報には記載されていないものの、OfficeやWindowsの脆弱性の影響を受ける公算が大きく、詳しい脆弱性情報が公開されていながら修正できない状況に陥った。まだXPを使い続けているユーザーはWindows 7やWindows 8.1などのOSに切り替えるよう、Microsoftは改めて促している。