Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正

「緊急」レベル2件、「重要」レベル3件の月例セキュリティ情報が公開された。

» 2014年03月12日 07時05分 公開
[鈴木聖子,ITmedia]

 米Microsoftは3月11日(日本時間12日)、予告通りに5件の月例セキュリティ情報を公開し、計23件の脆弱性に対処した。日本でゼロデイ攻撃が多発していたInternet Explorer(IE)の脆弱性も修正され、同社は最優先で更新プログラムを適用するよう呼び掛けている。

 5件のセキュリティ情報のうち、深刻度が最も高い「緊急」レベルは2件。このうちIEの累積的な更新プログラム(MS14-012)では18件の脆弱性に対処した。現時点でゼロデイ攻撃に利用されている脆弱性はIE 9と10のみに存在するが、残る17件のほとんどは、IE 11とWindows 8.1の組み合わせも含めた全バージョンが極めて深刻な影響を受ける。

 もう1件の緊急レベルはWindowsのDirectShowに存在する脆弱性に対処した更新プログラム(MS14-013)で、こちらはクライアント版、サーバ版を含め、全Windowsが極めて深刻な影響を受ける。細工を施した画像ファイルをユーザーが開いた場合、リモートでコードを実行される恐れがあるという。

 残る3件はいずれも「重要」レベルに指定され、「Windowsカーネルモードドライバの特権昇格の脆弱性」(MS14-015)、「Security Account Manager Remote(SAMR) プロトコルのセキュリティ機能迂回の脆弱性」(MS14-016)、「Silverlightのセキュリティ機能迂回の脆弱性」(MS14-014)にそれぞれ対処した。

 Silverlightの脆弱性は、セキュリティ機能の「データ実行防止」(DEP)と「アドレス空間レイアウトのランダム化」(ASLR)のSilverlightへの実装が不適切だったことに起因する。この問題自体の深刻度は「重要」レベルだが、リモートコード実行攻撃の過程で悪用される恐れがあるとMicrosoftは指摘している。

月例セキュリティ情報の適用優先度の順位(Microsoftより)

Copyright © ITmedia, Inc. All Rights Reserved.