Microsoftの月例セキュリティ情報を公開 IEやWindowsの深刻な脆弱性に対処

IEの脆弱性はWindows 8/RT版のIE 10も含めてクライアント版のIE全バージョンが極めて深刻な影響を受ける。3月のハッキングコンペで発覚した脆弱性はまだ未解決となっている。

» 2013年04月10日 07時18分 公開
[鈴木聖子,ITmedia]

 米Microsoftは4月9日(日本時間10日)、予告通りに9件のセキュリティ情報を公開した。最大深刻度はInternet Explorer(IE)とWindowsリモートデスクトップクライアントの脆弱性に対処した2件が「緊急」、残る7件が「重要」と分類している。

 IEの累積的なセキュリティ更新プログラム(MS13-028)では2件の脆弱性を修正した。Windows 8/RT版のIE 10も含めてクライアント版のIEの全バージョンが極めて深刻な影響を受ける。この問題を突いて細工を施したWebページをユーザーが表示すると、リモートでコードを実行される恐れがある。脆弱性は2件とも非公開で報告され、現時点で攻撃の発生は確認されていないという。

 なお、IEは3月のハッキングコンペ「Pwn2Own」で発覚した脆弱性がまだ未解決になっているが、事前の予想に反してこの脆弱性の修正プログラムは盛り込まれなかった。これについてMicrosoftの担当者は、セキュリティ企業Kaspersky Labのニュースサービス「threatpost」に対し、リグレッションテストと品質保証テストのために遅れが出たようだと説明。「攻撃の発生は確認されておらず、この問題の影響がユーザーに及ぶことはないはずだ。Pwn2Ownの主催者は挑戦者が発見した内容を公表していない」と話している。

 一方、Windowsリモートデスクトップクライアントの脆弱性(MS13-029)も、細工を施したWebページを使って悪用される恐れがある。この脆弱性は、Windows 7までのクライアント版Windowsが特に深刻な影響を受ける。こちらも攻撃の発生は確認されていないという。

 残る重要レベルの7件では、SharePoint、Windowsカーネル、Active Directory、Windowsクライアント/サーバランタイムサブシステム(CSRSS)、Microsoft Antimalware Client、HTMLサニタイズコンポーネント、カーネルモードドライバの脆弱性にそれぞれ対処した。

 このうち、HTMLサニタイズコンポーネントの特権昇格の脆弱性(MS13-035)については「限定的な標的型攻撃」の発生が確認されているという。この問題はOfficeソフトのInfoPath 2010とサーバソフトのSharePoint Server 2010、Groove Server 2010、SharePoint Foundation 2010およびOffice Web Apps 2010が影響を受ける。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ