日本マイクロソフトは2011年2月9日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を12件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、細工が施されたWebページやファイルを開くだけで悪質なプログラム(ウイルスなど)を実行される恐れがある。第三者によって既に公表されている脆弱性(ゼロデイ脆弱性)も含まれる。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2)、IE 6/7/8、FTP Service 7.0/7.5 for IIS 7.0/7.5、Visio 2002/2003/2007。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。いずれも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱性が含まれる。
(1)[MS11-003]Internet Explorer 用の累積的なセキュリティ更新プログラム (2482017)
(2)[MS11-006]Windows シェルのグラフィック処理の脆弱性により、リモートでコードが実行される (2483185)
(3)[MS11-007]OpenType Compact Font Format(CFF)ドライバーの脆弱性により、リモートでコードが実行される (2485376)
(1)には、IEに見つかった脆弱性が4件含まれる。そのうち1件については、第三者によって公開され、実際に悪用されている。いわゆる「ゼロデイ脆弱性」だ。
このため日本マイクロソフトでは、その脆弱性の概要などを伝える「セキュリティアドバイザリ」を2010年12月24日に公開したが、パッチは未公開。それが今回、ようやく公開された。
(2)の脆弱性も、第三者によって既に公開されているゼロデイ脆弱性。(1)の脆弱性と同様に、2011年1月5日にセキュリティアドバイザリを公表したが、パッチは未公開だった。
最大深刻度が上から2番目の「重要」に設定されているのは以下の9件。
(4)[MS11-004]インターネットインフォメーションサービス(IIS)のFTPサービスの脆弱性により、リモートでコードが実行される (2489256)
(5)[MS11-005]Active Directoryの脆弱性により、サービス拒否が起こる (2478953)
(6)[MS11-008]Microsoft Visioの脆弱性により、リモートでコードが実行される (2451879)
(7)[MS11-009]JScriptおよびVBScriptスクリプトエンジンの脆弱性により、情報漏えいが起こる (2475792)
(8)[MS11-010]Windowsクライアント/サーバーランタイムサブシステムの脆弱性により、特権が昇格される (2476687)
(9)[MS11-011]Windowsカーネルの脆弱性により、特権が昇格される (2393802)
(10)[MS11-012]Windowsカーネルモードドライバーの脆弱性により、特権が昇格される (2479628)
(11)[MS11-013]Kerberosの脆弱性により、特権が昇格される (2496930)
(12)[MS11-014]Local Security Authority Subsystem Service(LSASS)の脆弱性により、ローカルで特権が昇格される (2478960)
これらのうち、(4)(5)(9)(11)にも、第三者によって公開された脆弱性が含まれる。ただしいずれの脆弱性についても、悪用は報告されていないという。
対策はパッチを適用すること。「Microsoft Update」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもダウンロードできる。
