セキュリティ情報9件のうちIEのセキュリティ更新プログラムなど3件を「緊急」、残る6件を「重要」に分類している。
米Microsoftは2月10日(日本時間11日)、9件の月例セキュリティ情報を公開し、WindowsやOffice、Internet Explorer(IE)、サーバソフトウェアに存在する計56件の脆弱性に対処した。最大深刻度は9件中3件を「緊急」、残る6件を「重要」に分類している。
「緊急」に指定されているのはIEのセキュリティ更新プログラムと、Windowsカーネルモードドライバのリモートコード実行の脆弱性、グループポリシーのリモートコード実行の脆弱性に対処する更新プログラムの3件。
このうちIEの更新プログラムでは計41件の脆弱性を修正した。脆弱性はIE 11までの全バージョンに存在し、特にクライアント版は深刻な影響を受ける。41件の脆弱性のうち、セキュリティ機能のASLR(アドレス空間配置のランダム化)を回避される脆弱性については「限定的な攻撃」が確認されているという。一方、事前に情報が公開されていたメモリ破損の脆弱性の方は、現時点で悪用されている形跡はないとした。
カーネルモードドライバの脆弱性は6件が修正された。特にWindows 7〜Windows RT 8.1までのWindows、およびWindows Server 2008 R2〜Windows Server 2012 R2までのWindows Serverが深刻な影響を受ける。6件のうち、CNGセキュリティ機能バイパスの脆弱性については、Googleが事前に情報を公開していたが、Microsoftによれば現時点でこの問題を突く攻撃は確認されていない。
グループポリシーの脆弱性では、攻撃者がユーザーをだまして不正なネットワークに接続させる手口を通じ、リモートで任意のコードを実行される恐れがある。この問題はサポート対象の全WindowsおよびWindows Serverが深刻な影響を受ける。
残る6件の重要指定のセキュリティ更新プログラムでは、Officeのリモートコード実行の脆弱性、Officeのセキュリティ機能迂回の脆弱性、グループポリシーのセキュリティ機能迂回の脆弱性、Windowsの権限昇格の脆弱性、Graphicsコンポーネントの脆弱性、Virtual Machine Manager(VMM)の権限昇格の脆弱性をそれぞれ修正した。
Officeのセキュリティ機能迂回の脆弱性については事前に情報が公開されていたものの、現時点で攻撃の発生は確認されていないという。
今回の更新プログラムではまた、Microsoftが予告していた通り、Internet Explorer(IE) 11の保護モードでSSL 3.0へのフォールバックを防ぐ機能がデフォルトで有効になった。4月の更新ではIE 11のSSL 3.0をデフォルトで無効にすることを予定している。
Copyright © ITmedia, Inc. All Rights Reserved.