Microsoft、16件の月例セキュリティ情報を公開、攻撃発生の脆弱性も
Internet Explorer(IE)などの更新プログラムで対処したスクリプトエンジンの脆弱性は、既に悪用の事実が確認されているという。
米Microsoftは5月10日、16件の月例セキュリティ情報を公開し、WindowsやIE、Edge、Officeなどの深刻な脆弱性に対処した。16件のうち7件を最大深刻度が最も高い「緊急」、8件を上から2番目の「重要」に分類している。
「緊急」指定の7件のうち、最優先で対応が必要なのはInternet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS16-051)とJScriptおよびVBScript用の累積的なセキュリティ更新プログラム(MS16-053)。この2つの更新プログラムで対処した「スクリプトエンジンのメモリ破損の脆弱性」は、既に悪用の事実が確認されているという。いずれも細工を施したWebサイトにユーザーがアクセスすると、リモートで攻撃コードを実行される可能性がある。
IEの更新プログラムはIE 9(Windows VistaとWindows Server 2008向け)、IE 10(Windows Server 2012向け)、IE 11(Windows 7〜10、Windows Server 2008 R2/2012 R2、Windows RT 8.1)を対象に配信される。
JScriptとVBScriptの脆弱性は、Windows Vistaで深刻度「緊急」、Windows Server 2008/2008 R2で「重要」と評価されている。
Edgeの累積的なセキュリティ更新プログラム(MS16-052)でも深刻な脆弱性が修正された。悪用される可能性は高いものの、現時点で攻撃の発生は確認されていない。
Office用のセキュリティ更新プログラム(MS16-054)では4件の脆弱性に対処した。Office 2007〜2016のほか、Office for Mac 2011と2016も深刻な影響を受ける。
また、Microsoft Graphicsコンポーネントの脆弱性(MS16-055)、Windows Journalの脆弱性(MS16-056)、Windows Shellの脆弱性(MS16-057)も、それぞれ細工を施したWebサイトやファイルを使ってリモートで攻撃コードを実行される可能性がある。
残る「重要」指定の8件では、Windows IIS、Media Center、Windowsカーネル、Microsoft RPC、Windowsカーネルモードドライバ、.NET Framework、仮想保護モード、ボリュームマネージャドライバの脆弱性をそれぞれ修正した。リモートでのコード実行、権限昇格、情報流出、セキュリティ機能迂回などの危険性が指摘されている。
関連記事
- Adobe AcrobatとReader、ColdFusionに脆弱性、アップデートで修正
AcrobatとReaderのセキュリティアップデートでは、Windows版とMac版に存在する100件近い脆弱性が修正された。 - Flash Playerに脆弱性、悪用攻撃も Adobeがアップデートを予告
Adobeは早ければ米国時間の5月12日にもセキュリティアップデートを公開し、攻撃に悪用されている脆弱性を修正する意向だ。 - WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。 - OpenSSLの更新版公開、複数の脆弱性を修正
悪用された場合、リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする恐れがある。 - 画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.