日本マイクロソフトは2013年4月10日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を9件公開した。そのうち2件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、悪質なWebサイトにアクセスするだけで、ウイルスに感染する恐れなどがある。悪用が確認されている脆弱性もある。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、全てのWindows(Windows XP/Vista/7/8/RT/Server 2003/Server 2008/Server 2008 R2/Server 2012)および全てのIE(IE 6/7/8/9/10)、InfoPath 2010、SharePoint Server 2010/2013、SharePoint Foundation 2010、Groove Server 2010、Office Web Apps 2010、Windows 8/RT上のWindows Defender。
最大深刻度が「緊急」のセキュリティ情報は以下の2件。
(1)[MS13-028]Internet Explorer用の累積的なセキュリティ更新プログラム (2817183)
(2)[MS13-029]リモート デスクトップ クライアントの脆弱性により、リモートでコードが実行される (2828223)
(1)と(2)のいずれのセキュリティ情報にも、Webサイト経由で攻撃を受ける脆弱性が含まれる。細工が施されたWebサイトにアクセスするだけでウイルスに感染し、パソコンを乗っ取られるなどの被害に遭う恐れがある。
最大深刻度が上から2番目の「重要」に設定されているのは以下の7件。
(3)[MS13-030]SharePointの脆弱性により、情報漏えいが起こる (2827663)
(4)[MS13-031]Windowsカーネルの脆弱性により、特権が昇格される (2813170)
(5)[MS13-032]Active Directoryの脆弱性により、サービス拒否が起こる (2830914)
(6)[MS13-033]Windowsクライアント/サーバーランタイムサブシステム (CSRSS) の脆弱性により、特権が昇格される (2820917)
(7)[MS13-034]Microsoft Antimalware Clientの脆弱性により、特権が昇格される (2823482)
(8)[MS13-035]HTMLのサニタイズコンポーネントの脆弱性により、特権が昇格される (2821818)
(9)[MS13-036]カーネルモードドライバーの脆弱性により、特権が昇格される(2829996)
(3)と(9)に含まれる脆弱性は、同社が公開する前に、第三者により公開されていたという。脆弱性を悪用した攻撃は未確認。
一方、(8)に含まれる脆弱性については、第三者に公開されていただけではなく、悪用した標的型攻撃も確認されている。
ただし、攻撃を行うには、脆弱性のあるSharePoint Serverなどを稼働させているパソコン(サーバー)にログオンする必要がある。つまり、アクセス権限のないユーザーは悪用できない。このため、攻撃を受ける危険性は小さいと考えられる。
対策はパッチを適用すること。「Microsoft Update(Windows Update)」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。パッチの適用後には、パソコンを再起動する必要があるので要注意。
なお、サービスパック(SP)を適用していないWindows 7(Windows 7 RTM)のサポートは4月10日(米国時間4月9日)に終了する。つまり、SPを適用していないWindows 7向けのパッチは、今回が最後となる。今後は、脆弱性が見つかった場合でも、SP未適用のWindows 7に対するパッチは提供されなくなる。
同社では、サポート終了の3週間前となる3月19日に、Windows 7 SP1の自動配信を開始。SP未適用のWindows 7パソコンに対して順次配信している。SP1を適用していないWindows 7ユーザーは、できるだけ早く適用しておこう。Microsoft Updateなどから適用できる。
