ニュース

IEとWMPの“緊急”パッチなど、マイクロソフトが6月の月例パッチ8件公開

 日本マイクロソフト株式会社は10日、6月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報8件を公開した。最大深刻度は、4段階中で最も高い“緊急”が2件、2番目の“重要”が6件。Internet Explorer(IE)、Windows Media Player、Windows、Office、Exchange Serverといった同社製品において、CVE番号ベースで計45件の脆弱性を修正している。

 “緊急”のパッチ2件は、「MS15-056」と「MS15-057」。

 MS15-056は、IEの累積的な修正パッチで、CVE番号ベースで24件の脆弱性を修正。IE 11/10/9/8/7/6が影響を受ける。最も深刻な脆弱性が悪用された場合、特別な細工を施されたウェブページをIEで閲覧した際、リモートでコードを実行させられる可能性がある。また、この脆弱性を悪用された場合、攻撃者によってユーザーと同じ権限を取得される可能性があるとしている。

 MS15-057は、Windows Media Playerの修正パッチで、CVE番号ベースで1件の脆弱性を修正。Windows 7/Vista、Windows Server 2008 R2/2008/2003が影響を受ける。ウェブサイトにある細工を施されたメディアコンテンツをWindows Media Playerで開いた場合に、リモートでコードを実行させられる可能性がある。この脆弱性の悪用に成功した場合、攻撃者がリモートからシステムを完全に制御する可能性があるとしている。

 “重要”のパッチ6件は、Microsoft Officeのリモートコード実行の脆弱性を修正する「MS15-059」、Microsoftコモンコントロールのリモートコード実行の脆弱性を修正する「MS15-060」、Windowsカーネルモードドライバーの特権昇格の脆弱性を修正する「MS15-061」、Active Directoryフェデレーションサービスの特権昇格の脆弱性を修正する「MS15-062」、Windowsカーネルの特権昇格の脆弱性を修正する「MS15-063」、Microsoft Exchange Serverの特権昇格の脆弱性を修正する「MS15-064」。

 悪用可能性指標(セキュリティ情報の公開から30日以内で脆弱性を悪用するコードが実行される可能性)は、MS15-056とMS15-059において「悪用される可能性が高い」とレーティングされている。

 また、MS15-061で修正しているCVE番号ベースで11件の脆弱性のうち、「Win32kの特権の昇格の脆弱性(CVE-2015-2360)」については、すでに「悪用を確認済み」。そのほかについてもほとんどが「悪用される可能性が高い」とレーティングされている。

 これ以外のMS15-057、MS15-060、MS15-062、MS15-063、MS15-064については「悪用される可能性は低い」とのレーティングだ。

 なお、今回「MS15-058」が抜けているが、これは今後公開されるセキュリティ情報で使用されるとしている。

 このほか、5月の月例パッチとして提供された「MS15-046」が今回、Office 2010向けに再リリースされている。Officeのリモートコード実行の脆弱性を修正するパッチだが、これに含まれる「CVE-2015-1682」の脆弱性について、包括的に対処するためだという。Office 2010のユーザーは、再リリースされたパッチ(3057181)のインストールが推奨されている。

(永沢 茂)