日本マイクロソフトは2014年10月15日、Internet Explorer(IE)やWindowsなどに関するセキュリティ情報を8件公開した(表)。それらに含まれる脆弱性を悪用されると、Webページやファイルを開くだけでウイルスに感染する恐れなどがある。実際、一部の脆弱性については悪用(ゼロデイ攻撃)が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。
今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのIE(IE 6/7/8/9/10/11)および全てのWindows(Windows Vista/7/8/8.1/RT/RT 8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2)、Office 2007/2010、Office for Mac 2011、Office 互換機能パック、.NET Framework 2.0/3.5/3.5.1/4.0/4.5/4.5.1/4.5.2、ASP.NET MVC 2.0/3.0/4.0/5.0/5.1、SharePoint Server 2010、Office Web Apps 2010。
最大深刻度が「緊急」のセキュリティ情報は以下の3件。
(1)[MS14-056]Internet Explorer 用の累積的なセキュリティ更新プログラム (2987107)
(2)[MS14-057].NET Framework の脆弱性により、リモートでコードが実行される (3000414)
(3)[MS14-058]カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3000061)
(1)は、IEに関するセキュリティ情報で、14件の脆弱性が含まれる。例えば、脆弱性を突くわなが仕込まれたWebサイトにアクセスするだけで、ウイルスに感染するなどの被害に遭う危険性がある。実際、そのうち1件については、悪用した攻撃が確認されている。対応策が提供される前の攻撃なので、いわゆる「ゼロデイ攻撃」である。
同様に、(3)のWindowsに関する脆弱性についてもゼロデイ攻撃が確認されている。
最大深刻度が上から2番目の「重要」に設定されているのは以下の5件。
(4)[MS14-059]ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942)
(5)[MS14-060]Windows OLE の脆弱性により、リモートでコードが実行される (3000869)
(6)[MS14-061]Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (3000434)
(7)[MS14-062]メッセージ キュー サービスの脆弱性により、特権が昇格される (2993254)
(8)[MS14-063]FAT32 ディスク パーティション ドライバーの脆弱性により、特権が昇格される (2998579)
