ニュース
2015年07月15日 07時57分 UPDATE

Microsoft、「緊急」4件を含む月例セキュリティ情報を公開

セキュリティ情報は全部で14件。Hacking Teamの情報流出で発覚した脆弱性も解決している。

[ITmedia]
mspct01.jpg 「緊急」4件を含む14件のセキュリティ情報が公開された

 米Microsoftは7月14(日本時間15日)、14件の月例セキュリティ情報を公開して、Internet Explorer(IE)やWindowsなどに存在する深刻な脆弱性を修正した。14件のうち4件が深刻度の最も高い「緊急」に指定されている。Hacking Teamの情報流出で発覚したAdobeOpenTypeフォント管理モジュールの脆弱性にも対処した。

 「緊急」4件のうちIEのセキュリティ更新プログラム(MS15-065)ではサポート対象のIE 6〜IE 11に影響する情報漏えいやメモリ破損、権限昇格など全29件の脆弱性に対処した。大半は悪用される可能性が高いとされ、一部では既に悪用が確認されているという。脆弱性を突いて細工を施したWebページをユーザーが閲覧すると、リモートで任意のコードを実行される恐れがある。なお、VBスクリプトエンジンに起因する脆弱性(CVE-2015-2372)についてIE 6/7では、下記のMS15-066のパッチを適用する必要がある。

 このVBスクリプトエンジンの更新プログラム(MS15-066)は、Windows VistaとWindows Server 2003/2008でIE 6/7を利用している場合と、2008 R2でServer coreとIE 8をインストールしている場合が対象となる。脆弱性を突いて細工を施したWebページをユーザーが閲覧すると、リモートで任意のコードを実行される恐れがあるとしている。

 リモートデスクトッププロトコル(RDP)の更新プログラム(MS15-067)は、Windows 7/8とWindows Server 2012が対象になる。RDPサーバサービスを有効している場合に細工されたパケットを送りつけられると、リモートでコード実行をされる可能性がある。ただし、RDPサーバサービスはデフォルトでは無効になっており、有効にしなければ危険ではないという。

 また、Windows Hyper-Vの更新プログラム(MS15-068)ではWindows 8/8.1およびWindow Server 2008/2012(R2を含む)に存在する脆弱性を解決した。この脆弱性はゲストマシン上で管理者権限を持つユーザーが細工したアプリケーションを実行することにより、ホストマシンで遠隔からのコード実行が可能になるが、攻撃にはゲストマシンにログオンする必要があるとしている。

mspct02.jpg セキュリティ情報全体の概要

 残る10件のセキュリティ情報の深刻度は、いずれも上から2番目に高い「重要」と評価されている。SQL ServerやWindows、Office、Netlogonなどに存在する多数の脆弱性を解決した。脆弱性を悪用された場合、権限が不正に昇格させられたり、リモートで任意のコードを実行されたりする恐れがある。

 このうち「MS15-077」で解決したAdobeOpenTypeフォント管理モジュールの脆弱性は、監視ツールを手掛けるイタリア企業Hacking Teamからの情報流出で発覚したもの。悪用されると権限が昇格させられてしまう恐れがあり、同社では悪用の事実を確認しているという。

 また、Windows Sever 2003については今回のセキュリティ情報公開を持って延長サポートが終了することとなった。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -