日本マイクロソフトは2014年7月9日、Internet Explorer(IE)やWindowsなどに関するセキュリティ情報を6件公開した。それらに含まれる脆弱性を悪用されると、Webページやファイルを開くだけでウイルスに感染する恐れなどがある。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのIE(IE 6/7/8/9/10/11)および全てのWindows(Windows Vista/7/8/8.1/RT/RT 8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2)、Service Bus 1.1。
最大深刻度が「緊急」のセキュリティ情報は以下の2件。
(1)[MS14-037]Internet Explorer 用の累積的なセキュリティ更新プログラム (2975687)
(2)[MS14-038]Windows Journal の脆弱性により、リモートでコードが実行される (2975689)
(1)は、IEに関するセキュリティ情報で、24件の脆弱性が含まれる。例えば、脆弱性を突くわなが仕込まれたWebサイトにアクセスするだけで、ウイルスに感染するなどの被害に遭う危険性がある。
24件の脆弱性のうち1件については第三者によって既に公表されているが、攻撃への悪用は確認されていない。
(2)は、手書き入力でノートを作成するソフト「Windows Journal」に関するセキュリティ情報。Windowsの多くに標準で含まれる。ウイルスが仕込まれたJornalファイル(拡張子はjnt)を開くと、そのウイルスに感染する恐れなどがある。
最大深刻度が上から2番目の「重要」に設定されているのは以下の3件。
(3)[MS14-039]スクリーン キーボードの脆弱性により、特権が昇格される (2975685)
(4)[MS14-040]Ancillary Function ドライバー (AFD) の脆弱性により、特権が昇格される (2975684)
(5)[MS14-041]DirectShow の脆弱性により、特権が昇格される (2975681)
最大深刻度が上から3番目(下から2番目)の「警告」に設定されているのは以下の1件。
(6)[MS14-042]Microsoft Service Bus の脆弱性により、サービス拒否が起こる (2972621)
(6)については、Service Busを明示的にインストールしたコンピュータのみ影響を受ける。どのWindowsにも標準では含まれていない。
いずれの脆弱性についても、対策はパッチを適用すること。Windowsの自動更新機能や「Microsoft Update」から適用できる。同社Webサイト(ダウンロードセンター)からもパッチをダウンロードできる。ただし、(6)のパッチについては、Webサイトからのみ入手可能。
日本マイクロソフトでは、(1)と(2)のパッチを、すぐに適用すべき「適用優先順位『1』」に設定している。パッチを検証してから適用している企業や組織では、まずは(1)と(2)のパッチを適用するよう勧めている。
