日本マイクロソフトは2013年3月13日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を7件公開した。そのうち4件は、最大深刻度(危険度)が最悪の「緊急」。脆弱性を悪用されると、細工が施されたWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れなどがある。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/RT/Server 2003/Server 2008/Server 2008 R2/Server 2012)および全てのIE(IE6/7/8/9/10)、Visio Viewer 2010、Visio 2010、Office 2010 Filter Pack、OneNote 2010、Office 2008 for Mac、Office for Mac 2011、Silverlight 5、Silverlight 5 Developer Runtime、SharePoint Server 2010、SharePoint Foundation 2010。
最大深刻度が「緊急」のセキュリティ情報は以下の4件。いずれも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱性が含まれる。
(1)[MS13-021]Internet Explorer用の累積的なセキュリティ更新プログラム(2809289)
(2)[MS13-022]Silverlightの脆弱性により、リモートでコードが実行される(2814124)
(3)[MS13-023]Microsoft Visio Viewer 2010の脆弱性により、リモートでコードが実行される(2801261)
(4)[MS13-024]SharePointの脆弱性により、特権が昇格される(2780176)
(1)はIEに関するセキュリティ情報。全てのIEが影響を受ける。ただし、2月26日に公開されたWindows 7およびWindows Server 2008 R2向けIE10は例外。これらに向けたIE10は、(1)の脆弱性を修正した上でリリースされた。
(1)にはIEに関する脆弱性が9件含まれる。そのうち1件については、第三者によって既に公開されている。ただし、この脆弱性を悪用した攻撃は確認されていないという。
最大深刻度が上から2番目の「重要」に設定されているのは以下の3件。
(5)[MS13-025]Microsoft OneNoteの脆弱性により、情報の漏えいが起こる(2816264)
(6)[MS13-026]Office Outlook for Macの脆弱性により、情報漏えいが起こる(2813682)
(7)[MS13-027]カーネルモード ドライバーの脆弱性により、特権の昇格が起こる(2807986)
(7)はWindowsに関するセキュリティ情報。全てのWindowsが影響を受ける。細工が施されたUSBデバイス(USBメモリーなど)を接続されると、本来は与えていない権限でプログラムを実行されたり、パソコンの設定を変更されたりする恐れがある。
脆弱性を悪用するには、攻撃者は攻撃対象のパソコンに物理的にアクセスする必要がある。ネットワーク経由では攻撃できない。このため、脆弱性の最大深刻度は「重要」に設定されている。しかしながら、悪用が容易な、危険な脆弱性であるとしている。
対策はパッチを適用すること。「Microsoft Update(Windows Update)」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。ただし、Mac用製品のパッチについては、Webサイトからのみ入手可能。
日本マイクロソフトでは、一般のユーザーに対しては、自動更新機能などを利用して、公開されたパッチをできるだけ早急に全て適用するよう勧めている。
パッチの適用前に検証が必要な企業ユーザーに対しては、脆弱性の危険度が高い(1)(2)(7)のパッチを優先して適用するよう呼びかけている。
なお、日本マイクロソフトによれば、(1)のWindows 8およびWindows RT向けパッチには、これらのIEをFlashに標準対応させるパッチも含まれているという。
今まで、Windows 8のWindowsストアアプリ版IE10やWindows RTのIE10では、「互換性表示リスト」に登録されたWebサイト以外では、Flashコンテンツを閲覧できなかった。いわば、互換性表示リストは「ホワイトリスト」として機能した。
ところが同社では方針を転換。互換性表示リストを「ブラックリスト」とし、リストに記載されたWebサイト以外では、Flashコンテンツを閲覧できるようにした。今回公開された(1)のパッチを適用すれば、Flashコンテンツの取り扱いが変更され、ほとんどのWebサイトにおいて、Flashコンテンツの閲覧が可能になる。
