日本マイクロソフトは2014年6月11日、WindowsやInternet Explorer(IE)などに関するセキュリティ情報を7件公開した(図)。それらに含まれる脆弱性は計66件。悪用されると、Webサイトにアクセスするだけでウイルス(マルウエア)に感染する恐れなどがある。対策はセキュリティ更新プログラム(パッチ)を適用すること。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows Vista/7/8/8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2/RT/RT 8.1)、全てのIE(IE 6~11)、Office 2007/2010、Office互換機能パック、Live Meeting 2007 Console、Lync 2010/2010 Attendee、Lync 2013、Lync Basic 2013、Lync Server 2010/2013。
最大深刻度が「緊急」のセキュリティ情報は次の2件。これらに含まれる脆弱性を悪用されると、細工が施されたWebページにアクセスするだけで、ウイルスを勝手に実行される恐れなどがある。
(1)[MS14-035]Internet Explorer 用の累積的なセキュリティ更新プログラム (2969262)
(2)[MS14-036]Microsoft Graphics コンポーネントの脆弱性により、リモートでコードが実行される (2967487)
(1)はIEに関するセキュリティ情報で、59件の脆弱性が含まれる。そのうち2件については、第三者によって事前に公開されているという。ただし、その脆弱性を悪用した攻撃は確認されていない。
59件もの脆弱性情報が1件のセキュリティ情報に収容されたのは、「5月2日に定例外のパッチを提供したため」(同社カスタマーサービス&サポート ストラテジー&オペレーション セキュリティレスポンスチーム セキュリティプログラムマネージャーの牧田進矢氏)。
マイクロソフトでは、同社製品のセキュリティ情報とパッチを、米国時間の毎月第2火曜日(日本時間ではその翌日)にまとめて公開している。しかしながら、5月2日には、IEに見つかったゼロデイ脆弱性を修正するパッチを定例外で公開した(関連記事:「IEのゼロデイ脆弱性」を修正するパッチが緊急公開)。
