ニュース

MS、6月の月例セキュリティパッチを公開、IEでは59件もの脆弱性を一気に修正

 日本マイクロソフト株式会社は11日、同社ソフトウェア製品の脆弱性を修正する6月の月例セキュリティ更新プログラム(修正パッチ)7件の提供を開始した。Windows、Internet Explorer(IE)、Office、Lyncなどが対象。

 これら7件のうち、最大深刻度のレーティングが4段階で最も高い“緊急”となっているのは「MS14-035」と「MS14-036」の2件。残りの5件は、2番目に高い“重要”。

 「MS14-035」では、CVE番号ベースで59件の脆弱性を新たに修正する。最も深刻な脆弱性を悪用された場合、特別に細工されたウェブページをIEで閲覧することで、リモートでコードが実行される可能性がある。IE 6/7/8/9/10/11(現在サポートされているすべてのエディションのWindows上のIE)が影響を受ける。なお、深刻度が“緊急”なのは、Windowsのクライアント版OS上で使用している場合だ。サーバー版OSでは危険性を低減させるセキュリティ機能がデフォルトで有効になっているため、深刻度は上から2番目の“重要”。

 これだけ多数の脆弱性に今月対処することになったのは、5月に定例外でIEの臨時パッチを公開した影響があるという。当初、5月の定例パッチで対処予定だった脆弱性の修正が6月にずれ込み、通常の月の2カ月分の脆弱性を今月のパッチで対処することになったかたちだ。

 なお、59件のうち2件については、Zero Day Initiative(ZDI)が2013年10月の時点でマイクロソフトに通知していたもの。ZDIが修正期限としている180日を過ぎても修正されなかったため、今年5月下旬、その脆弱性の情報をZDIが一般に公開していた。ただし、マイクロソフトによると、今のところこの脆弱性を悪用した攻撃は確認されていないとしている。また、他の57件については、脆弱性も一般には非公開のもので、悪用も確認されていないとしている。

 “緊急”となっているもう1件の「MS14-036」は、非公開でマイクロソフトに通知された2件の脆弱性を修正するもの。こちらも今のところ悪用は確認されていない。特別に細工されたファイルやウェブページを開いた場合に、リモートでコードが実行される可能性がある。Windows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2(現在サポートされているすべてのエディションのWindows)、Office 2007/2010、Live Meeting 2007、Lync 2010/2013が影響を受ける。

 適用優先度は、「MS14-035」が3段階で最も高い“1”だが、「MS14-036」については実際に悪用される可能性は低いとみており、2番目の“2”となっている。

 一方、深刻度は“重要”であるものの、適用優先度が“1”とレーティングされているのが「MS14-034」だ。特別に細工されたファイルをWordで開くと、リモートでコードが実行される可能性があるというもので、Office 2007とOffice互換機能パックが影響を受ける。なお、メールプレビューでは問題はないとしている。

 マイクロソフトでは、企業ユーザーなどでパッチ適用の優先順位を付けて導入している場合は、「MS14-035」と「MS14-034」を至急適用するよう呼び掛けている。

 残る“重要”4件がそれぞれ影響するソフトウェアは、「MS14-030」がWindows 7/8/8.1およびWindows Server 2012/2012 R2、「MS14-031」がWindows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2(現在サポートされているすべてのエディションのWindows)、「MS14-032」がLync Server 2010/2013、「MS14-032」がXMLコアサービス3.0/6.0(現在サポートされているすべてのエディションのWindows)。

(永沢 茂)