今回公開されたセキュリティ情報の例
今回公開されたセキュリティ情報の例
[画像のクリックで拡大表示]

 日本マイクロソフトは2013年5月15日、Internet Explorer(IE)やWindowsなどに関する10件のセキュリティ情報とセキュリティ更新プログラム(パッチ)を公開した。10件中2件は、最大深刻度(危険度)が最悪の「緊急」。そのうち1件は、悪用が確認されているIE8の脆弱性。もう1件は全バージョンのIEが影響を受ける脆弱性。自動更新機能を有効にしていれば、パッチは自動的に適用される。

 今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/RT/Server 2003/Server 2008/Server 2008 R2/Server 2012)および全てのIE(IE 6/7/8/9/10)、Publisher 2003/2007/2010、Word 2003、Word Viewer、Visio 2003/2007/2010、.NET Framework 2.0/3.5.1/3.5/4/4.5、Communicator 2007、Lync 2010/2010 Attendee、Lync Server 2013、Windows Essentials 2011/2012。

 最大深刻度が「緊急」のセキュリティ情報は以下の2件。いずれも、悪質なプログラム(ウイルスなど)を勝手に実行される恐れがある、危険な脆弱性が含まれる。

(1)[MS13-037]Internet Explorer用の累積的なセキュリティ更新プログラム (2829530)
(2)[MS13-038]Internet Explorer用のセキュリティ更新プログラム (2847204)

 (1)は、IEに関するセキュリティ情報。全てのIEが影響を受ける。細工が施されたWebサイトにアクセスするだけで、ウイルスに感染する危険性などがある。

 (2)は、IE8とIE9に関するセキュリティ情報。ただし、悪用される危険性があるのはIE8のみ。IE9には、(2)の脆弱性を含むコードが含まれるものの、現在確認されている攻撃方法では悪用できない。

 (1)の脆弱性と同様に、細工が施されたWebサイトにアクセスするだけで被害に遭う恐れがある。実際、(2)の脆弱性を悪用する攻撃が出現している。パッチ提供前の攻撃なので、いわゆる「ゼロデイ攻撃」だ。米マイクロソフトは5月3日(米国時間)、この脆弱性に関するセキュリティアドバイザリーを公開。脆弱性の概要と、脆弱性が悪用されたことを報告した。

 5月8日(同)には、パソコンの設定を変更して、脆弱性悪用攻撃を回避するためのツール「Fix itソリューション」を公開。同ツールを実行すれば、脆弱性は修正されないものの、脆弱性を悪用した攻撃を回避できる。

 そして今回、この脆弱性に関するセキュリティ情報とパッチを公開した。

 最大深刻度が上から2番目の「重要」に設定されているのは以下の8件。

(3)[MS13-039]HTTP.sysの脆弱性により、サービス拒否が起こる(2829254)
(4)[MS13-040].NET Frameworkの脆弱性により、なりすましが行われる (2836440)
(5)[MS13-041]Lyncの脆弱性により、リモートでコードが実行される (2834695)
(6)[MS13-042]Microsoft Publisher の脆弱性により、リモートでコードが実行される (2830397)
(7)[MS13-043]Microsoft Wordの脆弱性により、リモートでコードが実行される (2830399)
(8)[MS13-044]Microsoft Visioの脆弱性により、情報漏えいが起こる (2834692)
(9)[MS13-045]Windows Essentials の脆弱性により、情報漏えいが起こる (2813707)
(10)[MS13-046]カーネルモード ドライバーの脆弱性により、特権が昇格される (2840221)

 (3)は、Windows 8/Server 2012/RTに関するセキュリティ情報。細工が施されたHTTPパケットを送信されると、コンピューターが正常に動作しなくなる恐れがある。このため、深刻度は「重要」だが、Webサーバーとして公開しているWindowsコンピューターなどでは影響が大きいとして、早急に対処するよう呼びかけている。

 (9)以外のパッチについては、「Microsoft Update(Windows Update)」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。

 (9)のWindows Essentials 2012向けパッチについては、Webサイトからのみ入手可能。Windows Essentials 2011向けのパッチは提供されないので、同ソフトのユーザーは、Windows Essentials 2012にバージョンアップすることが対策となる。

 (2)のパッチは、(1)のパッチと同時に適用する必要がある。順番はどちらが先でもかまわない。自動更新やMicrosoft Updateでは同時に適用されるので気にする必要はないが、手動で適用する場合には注意が必要。

 また、(2)の脆弱性対策として、5月8日公開のFix itソリューション(Microsoft Fix it 50992)を有効にしている場合でも、そのまま(2)のパッチを適用してかまわない。ただ、このFix itソリューションを有効にしていると、IEの起動が若干遅くなる可能性があるという。影響は小さいが、もし気になるようならFix itソリューションを無効にする。無効にするためのFix itソリューション(Microsoft Fix it 50991)は、「サポート技術情報 2847140」で公開している。