ニュース

MSが3月の月例パッチ公開、IEや「FREAK」問題の修正など計14件

 日本マイクロソフト株式会社は11日、3月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報14件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が5件、2番目に高い“重要”が9件。Internet Explorer(IE)に関する修正などのほか、SSL/TLSで暗号強度の低い輸出用RSA鍵を受け入れてしまう「FREAK」と呼ばれる問題への修正を行っている。

 最大深刻度“緊急”のセキュリティ情報は、「MS15-018」「MS15-019」「MS15-020」「MS15-021」「MS15-022」の3件。

 「MS15-018」は、IEに関する12件の脆弱性を修正する。最も深刻な脆弱性が悪用された場合、特別に細工されたウェブページをIEで開いた際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのIE(IE 11〜6)が影響を受ける。

 修正した脆弱性のうち、特権の昇格の脆弱性(CVE-2015-0072)については、既に悪用が確認されている。また、メモリ破損の脆弱性(CVE-2015-1625)については、脆弱性情報が事前に公開されていたが、悪用は確認されていないという。

 「MS15-019」は、VBScriptスクリプトエンジンに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトにアクセスした際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSは、Windows VistaおよびWindows Server 2008/2003。

 「MS15-020」は、Windowsに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトを閲覧したり、特別に細工されたDLLファイルが含まれる作業ディレクトリ内のファイルを開いた際などに、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)に影響がある。

 「MS15-021」は、Adobeフォントドライバーに関する8件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページやファイルを表示した際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのWindows(Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003)に影響がある。

 「MS15-022」は、Officeに関する5件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたOfficeファイルを開いた際に、悪意のあるプログラムを実行させられる可能性がある。現在サポートされているすべてのOffice(Office 2013/2010/2007、Office 2013 RT)や、Word Viewer、Excel Viewer、Office互換機能パック、SharePoint Server 2013/2010/2007、Web Apps 2013/2010、SharePoint Services 3.0に影響がある。

 このほか、最大深刻度“重要”のセキュリティ情報として、カーネルモードドライバーに関する「MS15-023」、PNG処理に関する「MS15-024」、Windowsカーネルに関する「MS15-025」、Exchange Serverに関する「MS15-026」、NETLOGONに関する「MS15-027」、Windowsタスクスケジューラに関する「MS15-028」、Photo Decoderコンポーネントに関する「MS15-029」、リモートデスクトッププロトコルに関する「MS15-030」、Schannelに関する「MS15-031」の9件が公開された。

 このうちの「MS15-031」が、SSL/TLSの「FREAK」問題を修正するもので、現在サポートされているすべてのWindowsが対象となる。なお、この問題についてマイクロソフトが5日に公開したセキュリティアドバイザリ「3046015」で説明している回避策を適用した場合には、今回の修正パッチを適用すると大多数のインターネットサービスが利用できなくなる場合があるとして、修正パッチの適用前に、回避策を解除するよう注意を呼び掛けている。

 また、2014年10月に公開されたWindows 7およびWindows Server 2008 R2向けの更新プログラム「KB2949927」について、後継版となる更新プログラム「KB3033929」が公開された。この更新プログラムは、インストール後に不具合が発生する問題を受け、配信が中止されていた。

(三柳 英樹)