Microsoft、7件の月例セキュリティ情報を公開

IEやカーネルモードドライバ（KMD）などの脆弱性に対処。KMDの特権昇格の脆弱性は「重要」レベルの深刻度だが、Microsoftが特に注意を促している。

[鈴木聖子，ITmedia]

　米Microsoftは3月12日（日本時間13日）、予告通りに7件の月例セキュリティ情報を公開し、Internet Explorer（IE）やOfficeなどに存在する計20件の脆弱性に対処した。

　7件のセキュリティ情報の内訳は、同社の4段階評価で深刻度が最も高い「緊急」が4件、上から2番目の「重要」が3件となっている。このうちIEの累積的なセキュリティ更新プログラム（MS13-021）では、IEに存在する9件の脆弱性に対処した。Windows 8とRT上のIE 10を含めて、クライアント版のIEの全バージョンが深刻な影響を受ける。脆弱性のうち1件は事前に情報が公開されていたが、現時点で攻撃の発生は確認されていないという。

　なお、6日に開かれたハッキングコンペ「Pwn2Own」では挑戦者がIEの未解決の脆弱性を突くことに成功したと伝えられている。しかしこの脆弱性を修正するパッチは、今回の更新プログラムには含まれていない模様。

　また、開発ツールのSilverlightの脆弱性を修正する更新プログラム（MS13-022）についても、Microsoftが最優先で適用を勧告している。細工を施したSilverlightアプリケーションを仕込んだWebサイトをユーザーが閲覧すると、任意のコードを実行される恐れがある。この脆弱性はWindows版だけでなく、Mac版のSilverlight 5も深刻な影響を受ける。

　このほかVisio Viewer 2010の脆弱性に対処する更新プログラム（MS13-023）と、SharePointの特権昇格の脆弱性に対処する更新プログラム（MS13-024）がそれぞれ緊急レベルとなっている。

　一方、重要レベルの更新プログラムの中でも、カーネルモードドライバ（KMD）の特権昇格の脆弱性（MS13-027）についてはMicrosoftが特に注意を促している。この脆弱性は、システムに物理的にアクセスできる攻撃者に悪用される恐れがあり、マシンがログオンされていなくても、攻撃者がカーネルレベルでコードを実行できてしまうという。例えば、オフィスを巡回する警備員などがUSBメモリを差し込むだけで、管理者としてどんな動作でも実行できる状態になるとMicrosoftは警告している。

　残る2件の更新プログラムではOffice for Macの脆弱性（MS13-026）と、OneNoteの情報流出の脆弱性（MS13-025）にそれぞれ対処した。