Microsoftがセキュリティ情報を公開、攻撃多発のIEなど脆弱性を修正

「緊急」レベル2件、「重要」レベル3件の月例セキュリティ情報が公開された。

[鈴木聖子，ITmedia]

　米Microsoftは3月11日（日本時間12日）、予告通りに5件の月例セキュリティ情報を公開し、計23件の脆弱性に対処した。日本でゼロデイ攻撃が多発していたInternet Explorer（IE）の脆弱性も修正され、同社は最優先で更新プログラムを適用するよう呼び掛けている。

　5件のセキュリティ情報のうち、深刻度が最も高い「緊急」レベルは2件。このうちIEの累積的な更新プログラム（MS14-012）では18件の脆弱性に対処した。現時点でゼロデイ攻撃に利用されている脆弱性はIE 9と10のみに存在するが、残る17件のほとんどは、IE 11とWindows 8.1の組み合わせも含めた全バージョンが極めて深刻な影響を受ける。

　もう1件の緊急レベルはWindowsのDirectShowに存在する脆弱性に対処した更新プログラム（MS14-013）で、こちらはクライアント版、サーバ版を含め、全Windowsが極めて深刻な影響を受ける。細工を施した画像ファイルをユーザーが開いた場合、リモートでコードを実行される恐れがあるという。

　残る3件はいずれも「重要」レベルに指定され、「Windowsカーネルモードドライバの特権昇格の脆弱性」（MS14-015）、「Security Account Manager Remote（SAMR） プロトコルのセキュリティ機能迂回の脆弱性」（MS14-016）、「Silverlightのセキュリティ機能迂回の脆弱性」（MS14-014）にそれぞれ対処した。

　Silverlightの脆弱性は、セキュリティ機能の「データ実行防止」（DEP）と「アドレス空間レイアウトのランダム化」（ASLR）のSilverlightへの実装が不適切だったことに起因する。この問題自体の深刻度は「重要」レベルだが、リモートコード実行攻撃の過程で悪用される恐れがあるとMicrosoftは指摘している。

月例セキュリティ情報の適用優先度の順位（Microsoftより）