米Microsoftは4月14日、11件の月例セキュリティ情報を公開し、Internet Explorer(IE)やOffice、Windowsなどの深刻な脆弱性に対処した。
最大深刻度は11件のうち4件を、4段階で最も高い「緊急」に指定した。このうち「IE用の累積的なセキュリティ更新プログラム」(MS15-032)では、計10件の脆弱性を修正した。脆弱性はIE 11までの全バージョンに存在し、多くはリモートでのコード実行に利用される恐れが指摘されている。また、IE 11ではSSL 3.0がデフォルトで無効になった。
一方、Microsoft Officeの更新プログラム(MS15-033)で対処した5件の脆弱性のうち1件は、事前に情報が公開され、悪用を試みる限定的な攻撃が確認されているという。脆弱性はWordやOffice、Office Web Apps Serverなどのほか、Mac向けのOfficeやWordやOutlookにも存在する。Office for Mac 2011では多層防御の更新によるセキュリティ強化も図っている。
HTTP.sysの脆弱性(MS15-034)は細工を施したHTTPリクエストを使って悪用される恐れがあり、Windows 7/8、Windows Server 2008 R2、Windows Server 2012が深刻な影響を受ける。
Microsoft Graphicsコンポーネントの脆弱性(MS15-035)は、細工を施した特定の拡張メタファイル (EMF) 画像をWindowsで処理する方法に存在。Windows Server 2003/2008/2008 R2、Windows Vista/7が深刻な影響を受ける。
残る7件のセキュリティ情報の最大深刻度は、いずれも上から2番目の「重要」と評価されている。SharePoint Server、Windowsタスクスケジューラ、NtCreateTransactionManagerおよびWindows MS-DOS、XMLコアサービス、Active Directoryフェデレーションサービス(ADFS)、.NET Framework、Windows Hyper-Vにそれぞれ脆弱性が存在し、権限を昇格されたり重要情報の流出、サービス妨害(DoS)、セキュリティ機能の迂回に利用されたりする恐れが指摘されている。
関連記事
- Windowsに脆弱性、悪用でパスワードが盗まれる恐れ
この問題は1990年代に発見され、Windows 10までのWindows全バージョンに存在。AppleやAdobeといった大手各社のソフトウェアアップデート機能が影響を受ける可能性があるという。 - FlashやIEのセキュリティ破りが次々と、ハッキングコンペ開催
「Pwn2Own 2015」初日はAdobe FlashやMicrosoft Internet Explorer(IE)11など4製品のセキュリティが破られた。 - Adobe、Flash Playerなどの脆弱性を修正
攻撃の発生も確認されていることから、ユーザーは直ちにFlash Playerの更新版をインストールして脆弱性を修正する必要がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.