日本マイクロソフトは2013年6月12日、OfficeやInternet Explorer(IE)などに関するセキュリティ情報を5件公開した。それらに含まれる脆弱性を悪用されると、Webページや文書ファイルを開くだけでウイルスに感染する恐れなどがある。実際、脆弱性を悪用した標的型攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/RT/Server 2003/Server 2008/Server 2008 R2/Server 2012)および全てのIE(IE 6/7/8/9/10)、Office 2003、Office for Mac 2011。
最大深刻度が「緊急」のセキュリティ情報は以下の1件。
(1)[MS13-047]Internet Explorer 用の累積的なセキュリティ更新プログラム (2838727)
(1)は、IEに関するセキュリティ情報で、19件の脆弱性が含まれる。全てのIEが影響を受ける。細工が施されたWebサイトにアクセスするだけで、ウイルスに感染する危険性などがある。ただし、いずれの脆弱性についても、悪用は確認されていない。
最大深刻度が上から2番目の「重要」に設定されているのは以下の4件。
(2)[MS13-048]Windows カーネルの脆弱性により、情報漏えいが起こる (2839229)
(3)[MS13-049]カーネルモードドライバーの脆弱性により、サービス拒否が起こる (2845690)
(4)[MS13-050]Windows 印刷スプーラーコンポーネントの脆弱性により、特権が昇格される (2839894)
(5)[MS13-051]Microsoft Officeの脆弱性により、リモートでコードが実行される (2839571)
(5)は、Office 2003およびOffice for Mac 2011に関するセキュリティ情報。これらのソフトには、データの処理に関する問題が見つかった。このため、細工が施されたファイルを開くと、中に仕込まれたウイルスを実行される恐れなどがある。
実際、この脆弱性を悪用した標的型攻撃(特定の企業や組織などを狙ったサイバー攻撃)が確認されている。
ただしこの脆弱性は、スタックベースのバッファオーバーフローと呼ばれる“古典的”な脆弱性なので、Windowsのセキュリティ機能「DEP(Data Execution Prevention、データ実行防止)」で攻撃を防げるという。DEPは、Windows XP SP2以降のWindowsにおいて初期設定で有効。
対策はパッチを適用すること。「Microsoft Update(Windows Update)」から適用可能。自動更新機能を有効にしていれば自動的に適用される。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。ただし、Mac用製品のパッチについては、Webサイトからのみ入手可能。
