日本マイクロソフトは2013年11月13日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を8件公開した。そのうち3件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、悪質なWebサイトにアクセスするだけでウイルス(マルウエア)に感染する恐れなどがある。実際、1件については、標的型攻撃への悪用が確認されている。対策はセキュリティ更新プログラム(パッチ)を適用すること。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2/RT/RT 8.1)、全てのIE(IE 6~11)、Office 2003/2007/2010/2013/2013 RTなど。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。いずれも、ウイルスなどを勝手に実行される恐れがある、危険な脆弱性が含まれる。
- (1)[MS13-088]Internet Explorer用の累積的なセキュリティ更新プログラム(2888505)
- (2)[MS13-089]Windows Graphics Device Interfaceの脆弱性により、リモートでコードが実行される(2876331)
- (3)[MS13-090]ActiveXのKill Bitの累積的なセキュリティ更新プログラム(2900986)
(3)の脆弱性は、標的型攻撃に悪用されたことが確認されている。パッチの公開前だったので、「ゼロデイ攻撃」といえる。脆弱性の内容も、米国時間11月8日に第三者によって公開されたという。
最大深刻度が上から2番目の「重要」に設定されているのは以下の5件。
- (4)[MS13-091]Microsoft Officeの脆弱性により、リモートでコードが実行される(2885093)
- (5)[MS13-092]Hyper-Vの脆弱性により、特権が昇格される(2893986)
- (6)[MS13-093]Windows Ancillary Functionドライバーの脆弱性により、情報漏えいが起こる(2875783)
- (7)[MS13-094]Microsoft Outlookの脆弱性により、情報漏えいが起こる(2894514)
- (8)[MS13-095]デジタル署名の脆弱性により、サービス拒否が起こる(2868626)
対策はパッチを適用すること。同社では、(1)(2)(3)のパッチを、適用優先順位「1」に設定している。パッチを検証してから適用している企業などでは、まずはこれらを適用するよう勧めている。
一般のユーザーは、Windowsの自動更新機能を使えば、必要なパッチが自動的に全て適用される。「Microsoft Update」からも適用可能。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。
