Microsoft、3月の月例セキュリティ更新プログラム公開 攻撃に利用の脆弱性を修正

[鈴木聖子，ITmedia]

　米Microsoftは3月12日（日本時間13日）、Windows、Internet Explorer（IE）、Edgeなどを対象とする月例セキュリティ更新プログラムを公開した。攻撃の発生が報告された複数の脆弱性にも対処している。

更新プログラムについて報じるMicrosoftのページ

　Microsoftによると、3月のセキュリティ更新プログラムは、Windows、IE、Edge、OfficeおよびOffice SharePoint、ChakraCore、Team Foundation Server、Skype for Business、Visual Studio、NuGetなどの製品が対象となる。

　Windows向けの更新プログラムで修正された脆弱性のうち、Win32kに存在する2件の特権昇格の脆弱性（CVE-2019-0797、CVE-2019-0808）は、Kaspersky LabsとGoogleの研究者がそれぞれ発見したもので、事前に攻撃の発生が報告されていた。

　Googleは3月7日のブログで、WindowsのWin32kに存在する特権昇格の脆弱性が、GoogleのWebブラウザChromeの脆弱性と組み合わせて、未解決の脆弱性を狙うゼロデイ攻撃に利用されたと伝えていた。

　セキュリティ企業Trend Micro傘下のZero Day Initiative（ZDI）によると、Microsoftの今回の更新プログラムでは、この2件を含めて計64件の脆弱性が修正されている。最大深刻度がMicrosoftの4段階評価で最も高い「緊急」の脆弱性は、このうち17件を占める。

　攻撃が発生しているWin32kの2件の脆弱性は、いずれも最大深刻度が上から2番目に高い「重要」の分類。ほかに攻撃は確認されていないものの、事前に情報が公開されていた脆弱性が4件あるが、いずれも「重要」と位置付けている。