米Microsoftは8月13日(日本時間14日)、8件のセキュリティ情報を公開し、Windows、Internet Explorer(IE)、Exchange Serverに存在する計23件の脆弱性に対処した。
セキュリティ情報8件のうち3件は、同社の4段階評価で深刻度が最も高い「緊急」レベル。中でもIEの累積セキュリティ更新プログラム(MS13-059)とWindowsのUnicodeスクリプトプロセッサの脆弱性(MS13-060)については最優先で適用を勧告している。
IEの脆弱性は10件が修正された。いずれも細工を施したWebページをIEで閲覧すると、リモートでコードを実行される恐れがあり、特にクライアント版ではIE 10を含むの全バージョンが極めて深刻な影響を受ける。脆弱性はいずれも非公開で報告され、現時点で攻撃の発生は確認されていないという。
Unicodeスクリプトプロセッサの脆弱性は、Windows XPとWindows Server 2003に存在する。この問題を突いて細工を施した文書やWebページをEmbedded OpenTypeフォントをサポートしているアプリケーションで表示すると、リモートでコードを実行される恐れがある。こちらも攻撃の発生は報告されていないとしている。
もう1件の緊急レベルはExchange Serverの脆弱性に対処する更新プログラム(MS13-061)で、WebReadyドキュメント表示およびデータ損失防止機能に脆弱性が存在する。影響を受けるのはExchange Server 2007、Exchange Server 2010、Exchange Server 2013。脆弱性は、MicrosoftがOracleからライセンス供与を受けているOutside Inライブラリに起因するもので、Oracleが7月までのパッチアップデートで問題を修正したことを受け、MicrosoftもOutside Inを脆弱性を修正したバージョンに更新した。
残る5件のセキュリティ情報はいずれも「重要」レベルと評価され、Windowsのリモートプロシージャコールの脆弱性、Windowsカーネルの脆弱性、Windows NATドライバの脆弱性、ICMPv6の脆弱性、Active Directoryフェデレーションサービスの脆弱性にそれぞれ対処した。悪用された場合、権限の昇格やサービス妨害(DoS)攻撃、情報流出などを招く恐れがある。
このうちWindowsカーネルの権限昇格の脆弱性(MS13-063)については事前に情報が公開され、SANS Internet Storm Centerによれば悪用方法も実証されているという。ただ、Microsoftは現時点で攻撃が発生したという情報は入っていないと説明している。
また、月例セキュリティ情報とは別に、2件のセキュリティアドバイザリも同時に公開された。このうち「セキュリティアドバイザリー2861855」では、WindowsのRemote Desktop Protocol(RDP)へのネットワークレベル認証(NLA)技術導入について解説している。
一方、「セキュリティアドバイザリ2862973」ではWindows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows RTを対象として、MD5ハッシュ付きの証明書の使用を制限する更新プログラムをリリースした。制限がかけられるのは、Microsoftのroot証明書プログラムを通じて発行された証明書に限られる。MD5については以前から安全性の問題が指摘されており、なりすましやフィッシング攻撃、中間者攻撃に利用される恐れがあった。Microsoftは2014年2月にこの更新プログラムをMicrosoft Update経由で配信する予定としている。
関連記事
- Microsoft、8件の月例セキュリティ情報の公開を予告
「緊急」3件、「重要」5件のセキュリティ情報を日本時間の8月14日に公開する。 - ハッシュ値の有効性 ITに疎い裁判官が起こした問題
関連リンク
Copyright© 2013 ITmedia, Inc. All Rights Reserved.