日本マイクロソフトは2014年4月9日、WindowsやOffice、Internet Explorer(IE)などに関するセキュリティ情報を4件公開した(図)。それらに含まれる脆弱性を悪用されると、Webページや文書ファイルを開くだけでウイルスに感染する恐れなどがある。実際、脆弱性を悪用したゼロデイ攻撃が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。Windows XPとOffice 2003向けのパッチ提供は今回が最後になる。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Server 2003/Vista/Server 2008/7/Server 2008 R2/8/Server 2012/8.1/Server 2012 R2/RT/RT 8.1/)、IE6/7/8/9/11、Office 2003/2007/2010/2013/2013 RT、Word Viewer、Office for Mac 2011、SharePoint Server 2010/2013など。
最大深刻度が「緊急」のセキュリティ情報は以下の2件。
(1)[MS14-017]Microsoft WordおよびOffice Web Appsの脆弱性により、リモートでコードが実行される (2949660)
(2)[MS14-018]Internet Explorer用の累積的なセキュリティ更新プログラム (2950467)
(1)はOfficeやSharePoint Serverなどに関するセキュリティ情報で、3件の脆弱性が含まれる。そのうちの1件については第三者によって公表され、ゼロデイ攻撃に悪用されている(関連記事:Wordに危険な脆弱性が発覚、悪用した標的型攻撃も)。
日本マイクロソフトは3月25日、この脆弱性の概要を解説する「セキュリティアドバイザリ」と、悪用した攻撃を回避するツール「Fix it」を公開したが、パッチは未提供だった。
(2)はIEに関するセキュリティ情報。6件の脆弱性が含まれ、IE10以外の全てのIEが影響を受ける。
最大深刻度が上から2番目の「重要」に設定されているのは以下の2件。
(3)[MS14-019]Windowsのファイル操作コンポーネントの脆弱性により、リモートでコードが実行される (2922229)
(4)[MS14-020]Microsoft Publisherの脆弱性により、リモートでコードが実行される (2950145)
