ニュース

Microsoftが2月の月例パッチ公開、“緊急”はMicrosoft Edge/IE11など

 日本マイクロソフト株式会社は14日、2月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものは1件含まれている。日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

 対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、ChakraCore。また、Adobe Flash Playerの更新プログラムが2月6日に定例外で公開されている。

 このうち最大深刻度が“緊急”の脆弱性の修正が含まれるのは、Windows、Microsoft Edge、IE11、ChakraCore、Microsoft Outlook、Adobe Flash Player。

 修正パッチに含まれる脆弱性の件数は、Adobe Flash Playerのものを除いてCVE番号ベースで50件。うち深刻度が“緊急”のものは14件で、このうち13件が、Outlookやウェブブラウザーのスクリプトエンジンなどにおいて、メモリ破損によりリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるもの。

 このほか、Microsoft Edgeのセキュリティ機能をバイパスする脆弱性「CVE-2018-0771」がすでに一般に公開されているが、深刻度は“緊急”で、悪用の事実はないとされている。

 また、1月3日に定例外として公開された投機的実行のサイドチャネル攻撃に関する脆弱性について、Windows 10の各バージョン向けに追加の保護を提供する更新プログラムもリリースしている。

 このほか、WindowsのXPSビューアーでドキュメント署名機能を無効化するパッチも提供している。これについてマイクロソフトでは、この機能が依存しているSHA-1アルゴリズムを製品から削除するための全般的な取り組みの一環としている。

 なお、修正パッチが提供されるWindows 10のバージョンは、「1709」(Fall Creators Update)、「1703」(Creators Update)、「1607」(Anniversary Update)。このほか、2015年11月に提供が開始された「1511」(November Update)のEnterprise/Educationの各エディション向けと、Windows 10初期バージョン「1507」のLTSB向けにもパッチが提供される。

 これら修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。