米Microsoftは3月11日(日本時間12日)、予告通りに5件の月例セキュリティ情報を公開し、計23件の脆弱性に対処した。日本でゼロデイ攻撃が多発していたInternet Explorer(IE)の脆弱性も修正され、同社は最優先で更新プログラムを適用するよう呼び掛けている。
5件のセキュリティ情報のうち、深刻度が最も高い「緊急」レベルは2件。このうちIEの累積的な更新プログラム(MS14-012)では18件の脆弱性に対処した。現時点でゼロデイ攻撃に利用されている脆弱性はIE 9と10のみに存在するが、残る17件のほとんどは、IE 11とWindows 8.1の組み合わせも含めた全バージョンが極めて深刻な影響を受ける。
もう1件の緊急レベルはWindowsのDirectShowに存在する脆弱性に対処した更新プログラム(MS14-013)で、こちらはクライアント版、サーバ版を含め、全Windowsが極めて深刻な影響を受ける。細工を施した画像ファイルをユーザーが開いた場合、リモートでコードを実行される恐れがあるという。
残る3件はいずれも「重要」レベルに指定され、「Windowsカーネルモードドライバの特権昇格の脆弱性」(MS14-015)、「Security Account Manager Remote(SAMR) プロトコルのセキュリティ機能迂回の脆弱性」(MS14-016)、「Silverlightのセキュリティ機能迂回の脆弱性」(MS14-014)にそれぞれ対処した。
Silverlightの脆弱性は、セキュリティ機能の「データ実行防止」(DEP)と「アドレス空間レイアウトのランダム化」(ASLR)のSilverlightへの実装が不適切だったことに起因する。この問題自体の深刻度は「重要」レベルだが、リモートコード実行攻撃の過程で悪用される恐れがあるとMicrosoftは指摘している。
月例セキュリティ情報の適用優先度の順位(Microsoftより)関連記事
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.