Microsoft、16件の月例セキュリティ情報を公開、攻撃発生の脆弱性も

Internet Explorer(IE)などの更新プログラムで対処したスクリプトエンジンの脆弱性は、既に悪用の事実が確認されているという。

» 2016年05月11日 08時02分 公開
[鈴木聖子ITmedia]

 米Microsoftは5月10日、16件の月例セキュリティ情報を公開し、WindowsやIE、Edge、Officeなどの深刻な脆弱性に対処した。16件のうち7件を最大深刻度が最も高い「緊急」、8件を上から2番目の「重要」に分類している。

 「緊急」指定の7件のうち、最優先で対応が必要なのはInternet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS16-051)とJScriptおよびVBScript用の累積的なセキュリティ更新プログラム(MS16-053)。この2つの更新プログラムで対処した「スクリプトエンジンのメモリ破損の脆弱性」は、既に悪用の事実が確認されているという。いずれも細工を施したWebサイトにユーザーがアクセスすると、リモートで攻撃コードを実行される可能性がある。

MS16-051で修正された脆弱性

 IEの更新プログラムはIE 9(Windows VistaとWindows Server 2008向け)、IE 10(Windows Server 2012向け)、IE 11(Windows 7〜10、Windows Server 2008 R2/2012 R2、Windows RT 8.1)を対象に配信される。

 JScriptとVBScriptの脆弱性は、Windows Vistaで深刻度「緊急」、Windows Server 2008/2008 R2で「重要」と評価されている。

16件のセキュリティ情報の概要(日本マイクロソフトより)

 Edgeの累積的なセキュリティ更新プログラム(MS16-052)でも深刻な脆弱性が修正された。悪用される可能性は高いものの、現時点で攻撃の発生は確認されていない。

 Office用のセキュリティ更新プログラム(MS16-054)では4件の脆弱性に対処した。Office 2007〜2016のほか、Office for Mac 2011と2016も深刻な影響を受ける。

 また、Microsoft Graphicsコンポーネントの脆弱性(MS16-055)、Windows Journalの脆弱性(MS16-056)、Windows Shellの脆弱性(MS16-057)も、それぞれ細工を施したWebサイトやファイルを使ってリモートで攻撃コードを実行される可能性がある。

 残る「重要」指定の8件では、Windows IIS、Media Center、Windowsカーネル、Microsoft RPC、Windowsカーネルモードドライバ、.NET Framework、仮想保護モード、ボリュームマネージャドライバの脆弱性をそれぞれ修正した。リモートでのコード実行、権限昇格、情報流出、セキュリティ機能迂回などの危険性が指摘されている。

Copyright © ITmedia, Inc. All Rights Reserved.