ニュース

MS、IEやWindowsなどの月例パッチ8件公開、XPやOffice 2003向けはもうなし

 日本マイクロソフト株式会社は14日、5月の月例セキュリティ更新プログラム(修正パッチ)8件の提供を開始した。同社ソフトウェア製品の脆弱性を修正するもので、WindowsやInternet Explorer(IE)、Officeなどが対象となるが、すでに4月9日でサポートが終了したWindows XPおよびOffice 2003に対してはもう用意はされていない。

  • MS14-022:Microsoft SharePoint Serverの脆弱性により、リモートでコードが実行される(2952166)
  • MS14-023:Microsoft Officeの脆弱性により、リモートでコードが実行される(2961037)
  • MS14-024:Microsoftコモンコントロールの脆弱性により、セキュリティ機能のバイパスが起こる(2961033)
  • MS14-025:グループポリシー基本設定の脆弱性により、特権が昇格される(2962486)
  • MS14-026:.NET Frameworkの脆弱性により、特権が昇格される(2958732)
  • MS14-027:Windowsシェルハンドラーの脆弱性により、特権が昇格される(2962488)
  • MS14-028:iSCSIの脆弱性により、サービス拒否が起こる(2962485)
  • MS14-029:Internet Explorer用のセキュリティ更新プログラム(2962482)

 8件のうち、最大深刻度のレーティングが4段階で最も高い“緊急”となっているのは「MS14-029」と「MS14-022」の2件で、残りの6件は2番目に高い“重要”。

 「MS14-029」は、特別に細工されたウェブページをIEで閲覧することで、リモートでコードが実行される可能性があるというもの。悪用された場合、攻撃者によってユーザーと同じ権限が取得される可能性がある。具体的には、2件のメモリ破壊の脆弱性(CVE-2014-0310、CVE-2014-1815)が含まれ、このうちの1件(CVE-2014-1815)はすでに悪用が確認されているという。Windows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2上のIE 6/7/8/9/10/11が影響を受け、Windowsのクライアント版OS上でこれらを使用している場合に深刻度が最高の“緊急”となる。一方、サーバー版OSでは危険性を低減させる機能により、深刻度は上から3番目の“警告”とのレーティングだ。

 なお、「MS14-029」は、5月2日に定例外で公開されたIEの臨時パッチ「MS14-021」を置き換えるパッチとなっており、「MS14-021」で修正されたIEのメモリ破壊の脆弱性(CVE-2014-1776)の修正も含まれている。すなわち、「MS14-029」には計3件の脆弱性修正が含まれるており、「MS14-021」をまだ適用していなかったPCでも「MS14-029」だけを適用すればよい。だたし、過去のパッチをまとめた累積的なパッチというわけではないため、それよりも前に公開されたパッチは別途、適用する必要がある。

 また、前述の通り、Windows XPはサポート期間終了のため、「MS14-029」はもう用意されてはいない。臨時パッチの「MS14-021」が未適用の場合は、「MS14-021」でCVE-2014-1776のみを修正するかたちとなる。

 もう1件“緊急”となっている「MS14-022」は、SharePoint SharePoint Server 2007/2010/2013、Office Web Apps 2010/2013、SharePoint Server 2013 Client Components SDK、SharePoint Designer 2007/2010/2013が影響を受けるものだ。SharePointページコンテンツの脆弱性(CVE-2014-0251)、SharePoint XSSの脆弱性(CVE-2014-1754)、Web Applicationsページコンテンツの脆弱性(CVE-2014-1813)という3件の脆弱性の修正が含まれる。これらの中で最も深刻な脆弱性では、認証された攻撃者が細工されたページコンテンツを標的となるSharePoint Serverに送信した場合に、リモートでコードを実行される可能性があるとしている。

 “重要”の6件がそれぞれ影響するソフトウェアは、「MS14-023」「MS14-024」がOffice 2007/2010/2013/2013 RT、「MS14-025」がWindows Vista/7/8/8.1およびWindows Server 2008/2008 R2/2012/2012 R2、「MS14-026」が.Net Framework 1.1/2.0/3.5/3.5.1/4.0/4.5/4.5.1、「MS14-027」がWindows Vista/7/8/8.1/RT/RT 8.1およびWindows Server 2003/2008/2008 R2/2012/2012 R2、「MS14-028」がWindows Server 2008/2008 R2/2012/2012 R2。

 なお、「MS14-025」については、Windows UpdateおよびMicrosoft Updateからの配信は行わない。これは、このパッチがグループポリシーの設定の機能の一部を削除するために、事前検証や追加設定が必要になるためだ。企業向けということもあり、自動更新による配布は不要と判断した。MicrosoftダウンロードセンターまたはMicrosoft Updateカタログからパッチを入手してインストールするかたちとなる。なお、クライアントシステムでは、リモートサーバー管理ツールをインストールしている場合にのみ脆弱性を受けるとしている。

 日本マイクロソフトでは、個人ユーザーに対しては、Microsoft Updateの自動更新により該当するパッチが自動的に適用されると説明。自動更新機能を無効にしているユーザーには、有効にするよう呼び掛けている。一方、企業ユーザーでパッチのインストールに優先付けが必要な場合は、「MS14-024」「MS14-025」「MS14-029」を優先的にインストールするよう案内している。

 今月の月例パッチは、Windows XPおよびOffice 2003のサポート期間が終了後、初めての定例パッチとなる。各パッチで修正する脆弱性の影響を受けるソフトウェアとしてはサポート中の製品しか明示されないため、そこにリストアップされていないからといってWindows XPやOffice 2003が脆弱性の影響を受けないというわけではもちろんない。例えば今回、Windowsのより新しいバージョンに見つかった脆弱性が、Windows XPでも同様に影響を受ける可能性は十分に考えられるわけだ。日本マイクロソフトでは「Windows XPはサポート外のため、影響がにあるともないともコメントできない」というスタンスだが、「過去数年の傾向から、Windows XPが攻撃を受ける可能性は高い」とし、「より安全性の高い最新のシステムに移行してほしい」と呼び掛けている。

(永沢 茂)