速報
» 2019年03月13日 09時00分 公開

Microsoft、3月の月例セキュリティ更新プログラム公開 攻撃に利用の脆弱性を修正

WindowsのWin32kに存在する2件の特権昇格の脆弱性は、事前に攻撃の発生が報告されていた。

[鈴木聖子,ITmedia]

 米Microsoftは3月12日(日本時間13日)、Windows、Internet Explorer(IE)、Edgeなどを対象とする月例セキュリティ更新プログラムを公開した。攻撃の発生が報告された複数の脆弱性にも対処している。

photo 更新プログラムについて報じるMicrosoftのページ

 Microsoftによると、3月のセキュリティ更新プログラムは、Windows、IE、Edge、OfficeおよびOffice SharePoint、ChakraCore、Team Foundation Server、Skype for Business、Visual Studio、NuGetなどの製品が対象となる。

 Windows向けの更新プログラムで修正された脆弱性のうち、Win32kに存在する2件の特権昇格の脆弱性(CVE-2019-0797、CVE-2019-0808)は、Kaspersky LabsとGoogleの研究者がそれぞれ発見したもので、事前に攻撃の発生が報告されていた。

 Googleは3月7日のブログで、WindowsのWin32kに存在する特権昇格の脆弱性が、GoogleのWebブラウザChromeの脆弱性と組み合わせて、未解決の脆弱性を狙うゼロデイ攻撃に利用されたと伝えていた。

 セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)によると、Microsoftの今回の更新プログラムでは、この2件を含めて計64件の脆弱性が修正されている。最大深刻度がMicrosoftの4段階評価で最も高い「緊急」の脆弱性は、このうち17件を占める。

 攻撃が発生しているWin32kの2件の脆弱性は、いずれも最大深刻度が上から2番目に高い「重要」の分類。ほかに攻撃は確認されていないものの、事前に情報が公開されていた脆弱性が4件あるが、いずれも「重要」と位置付けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ