「緊急」の脆弱性16件が修正――Microsoftが4月の月例セキュリティ更新プログラムを公開

Microsoftは、4月の月例セキュリティ更新プログラムを公開した。今回の更新プログラムでは計74件の脆弱性が修正された。このうち2件については事前に攻撃の発生が確認されていた。

[鈴木聖子，ITmedia]

　Microsoftは2019年4月9日（日本時間10日）、4月の月例セキュリティ更新プログラムを公開した。既に攻撃に利用されている脆弱（ぜいじゃく）性も含め、「Windows」「Internet Explorer（以下、IE）」「Microsoft Edge（以下、Edge）」などに存在する深刻な脆弱性が修正されている。

April 2019 Security UpdatesのRelease Notes

　Microsoftによると、4月のセキュリティ更新プログラムはWindowsとIE、Edgeの他、以下の製品が対象となる。

• Microsoft Office
• Microsoft Office Services
• Web Apps
• ChakraCore
• ASP.NET
• Microsoft Exchange Server
• Team Foundation Server
• Azure DevOps Server
• Open Enclave SDK
• Windows Admin Center
• Adobe SystemsのAdobe Flash Player

　米セキュリティ機関SANS Internet Storm Center（以下、SANS）によると、今回の更新プログラムでは計74件の脆弱性が修正された。このうち16件が、最大深刻度がMicrosoftの4段階評価で最も高い「緊急」に指定されている。

　また、Windowsの「Win32k」に存在する権限昇格の脆弱性2件は、事前に悪用した攻撃の発生が確認されていた。いずれもメモリ内のオブジェクトの不適切な処理に起因するもので、ローカルの攻撃者が権限を昇格させてカーネルモードで任意のコードを実行できてしまう恐れがある。この脆弱性は、上から2番目の最大深刻度「重要」に指定されている。

　Googleは3月上旬、Webブラウザ「Google Chrome」の脆弱性と、Microsoftの「win32k.sys」カーネルドライバの脆弱性が組み合わされて攻撃に利用されたと伝えていた。いずれも当時未解決の脆弱性を突くゼロデイ攻撃だった。

　SANSでは、「Windows Graphics Device Interface（GDI+）」のリモートコード実行の脆弱性について注意を促している。この問題が悪用された場合、Webサーバでホスティングしているファイルや電子メールの添付ファイルなどを利用して、細工を施したEMFファイルをユーザーに開かせる手口を使い、攻撃者がシステムを制御できてしまう恐れがある。

　GDI+のコンポーネントはWindowsの他、Microsoft OfficeなどMicrosoftの複数の製品に使われている。