日本マイクロソフトは2014年2月12日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を7件公開した。そのうち4件は、最大深刻度(危険度)が最悪の「緊急」。それらに含まれる脆弱性を悪用されると、Webサイトにアクセスするだけでウイルス(マルウエア)に感染する恐れなどがある。実際、2件については、標的型攻撃への悪用が確認されている。対策はセキュリティ更新プログラム(パッチ)を適用すること。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/8/8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2/RT/RT 8.1)、全てのIE(IE 6~11)、.NET Framework 1.0/2.0/3.5/3.5.1/4/4.5/4.5.1、Forefront Protection 2010 for Exchange Server。
最大深刻度が「緊急」のセキュリティ情報は次の4件(図)。これらに含まれる脆弱性を悪用されると、細工が施されたWebページやファイルを開くだけで、ウイルスなどを勝手に実行される恐れがある。
(1)[MS14-007]Direct2D の脆弱性により、リモートでコードが実行される(2912390)
(2)[MS14-008]Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される(2927022)
(3)[MS14-010]Internet Explorer 用の累積的なセキュリティ更新プログラム(2909921)
(4)[MS14-011]VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される(2928390)
(3)のセキュリティ情報には、24件の脆弱性が含まれる。そのうち1件については、第三者によって事前に公開されているという。ただ、その脆弱性を悪用した攻撃は未確認。
