XP・Office 2003・IE 6の公表済み脆弱性、85%は「危険」レベル

4月9日でサポートが終了したWindows XPとOffice 2003、Internet Explorer 6の脆弱性のうち85%は、不正操作や情報漏えいにつながるものだった。

» 2014年04月23日 13時04分 公開
[ITmedia]

 情報処理推進機構(IPA)は4月23日、脆弱性対策情報データベース「JVN iPedia」の2014年1〜3月期の登録状況を発表した。このうち4月9日にMicrosoftのサポートが終了したWindows XPとOffice 2003、Internet Explorer(IE) 6の脆弱性では85%が「危険」レベルに分類されている。

 3月末時点でJVN iPediaに登録された脆弱性情報は4万5161件。このうちMicrosoft製品は72件で、XPとOffice 2003、IE 6の脆弱性は28%(20件)を占める。内訳はIE 6が12件、XPが5件、Office 2003が3件となる。

JVN iPediaに登録されているMicrosoft製品の内訳(IPAより)

 これら製品の脆弱性について、深刻度を示す共通指標のCVSSベーススコア(最大値10.0)が7.0〜10.0の「危険」レベルに分類されるものは85%(17件)に上る。「危険」レベルは、リモートからシステムを完全に制御されたり、大部分の情報が漏えいしたりするなどの脅威とされている。

脆弱性のタイプ別では任意のコード実行などにつながる「バッファエラー」が84%を占め、以下は「認可・権限・アクセス制御」が6%、「不適切な入力確認」と「リソース管理」がそれぞれ5%だった。

JVN iPedia全体と比較するとサポート終了製品は「危険」レベルの割合が高い(同)

 IPAでは「サポート終了後にベンダーから脆弱性対策情報が公開されず、潜在するセキュリティリスクに対して適切な対応が取れなくなる。「サポート終了製品は継続利用せず、後継製品や代替製品に移行することが必要」と述べている。

 また、1〜3月期に新規登録された脆弱性情報は1790件で、種類別では「クロスサイト・スクリプティング」(262件)、「バッファエラー」(191件)、「認可・権限・アクセス制御の問題」(187件)、「不適切な入力確認」(152件)の順に多かった。

2014年1〜3月期に登録された脆弱性の種類別件数(同)

 登録された製品の上位3件はIEとGoogle Chrome、Mozilla Firefoxでいずれもブラウザ製品。IPAは「登録件数が多い製品は短期間で何度もバージョンアップを行っている可能性があり、情報収集に漏れが生じる可能性もある」と注意を呼び掛けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ