Microsoft、9件の月例セキュリティ情報を公開 IEに「限定的な攻撃」

9件のセキュリティ情報のうち2件が「緊急」レベル。IEの脆弱性は「限定的な攻撃」が確認されているという。

» 2014年08月13日 07時23分 公開
[鈴木聖子,ITmedia]

 米Microsoftは8月12日(日本時間13日)、予告通りに9件のセキュリティ情報を公開し、WindowsやInternet Explorer(IE)などに存在する計37件の脆弱性に対処した。

 9件のセキュリティ情報のうち、IEの累積的なセキュリティ更新プログラム(MS14-051)とWindows Media Centerの脆弱性に対処する更新プログラム(MS14-043)の2件は、深刻度が最も高い「緊急」に分類され、Microsoftは最優先でアップデートを適用するよう促している。

 IEでは26件の脆弱性を修正した。このうち1件は事前に情報が公開されていたほか、別の1件については脆弱性を悪用しようとする「限定的な攻撃」が確認されているという。この2件はいずれも権限昇格の脆弱性だが、ほかの脆弱性と組み合わせて、攻撃に利用されるリスクは高い。特にクライアント版はIE 6〜11の全バージョンが深刻な影響を受ける。

 Windows Media Centerの脆弱性は非公開で報告されたもので、細工を施したOfficeファイルをユーザーが開いた場合、Windows Media Centerリソースが呼び出され、リモートでコードを実行される恐れがあるという。

アップデート適用の優先順位

 残る7件のセキュリティ情報は、いずれも深刻度評価が上から2番目の「重要」となっている。OneNoteのリモートコード実行の脆弱性に対処したほか、SQL Server、カーネルモードドライバ、Windows Installerサービス、SharePoint Serverでは特権昇格の脆弱性に、.NET FrameworkとLRPCではセキュリティ機能バイパスの脆弱性にそれぞれ対処した。

 Microsoftのセキュリティ情報概要ページでは今回から、「Exploitability Index」(悪用可能性指標)の表の中で新たに「0 - 悪用を確認済み」という分類が登場。個々の脆弱性について、攻撃発生の有無や悪用される可能性が高いかどうかが確認しやすくなった。

悪用可能性指標では従来の「1 - 悪用される可能性が高い」「2 - 悪用される可能性は低い」「3 - 悪用される可能性は非常に低い」に、「0 - 悪用を確認済み」が追加された

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ