またMicrosoftの月例パッチの日がやってきた。しかも今回は、Adobeもセキュリティパッチ公開と同じ日だ。
米国時間7月14日、Microsoftは14件のセキュリティ情報を公開し、さまざまなMicrosoft製品の多数の脆弱性を修正した。これには、「Windows」と「Office」も含まれている。
HPのDustin Childs氏のツイートによれば、これらのセキュリティ情報のうち3件で説明されている脆弱性は、すでにハッカーに悪用されている。具体的には、「Internet Explorer」向けのMS15-065、Microsoft Office向けのMS15-070、Windows向けのMS15-077だ。
以下では、特に緊急度の高い脆弱性について説明する。
MS15-065では、「Internet Explorer 6」またはそれ以降のバージョンのInternet Explorerに存在する、28件の脆弱性が修正されている。その中には、深刻度が「緊急」の脆弱性も含まれる。このパッチでは、Hacking Teamの情報漏洩で明らかになったセキュリティホールも修正されていると考えられている。
MS15-066 も「緊急」にレーティングされており、「Windowns Server 2003」「Windows Server 2008」の「VBScript」エンジンに影響がある。あるマルウェアが組み込まれたウェブサイトをユーザーが閲覧すると、攻撃者はログインしていたユーザーと同じ特権でマシンを乗っ取ることができる。
MS15-067は、Windows 7とWindows 8にのみ影響があり、リモートデスクトッププロトコル(RDP)サーバサービスが有効になっているコンピュータを標的にしている。該当するユーザーはただちにこのパッチをインストールすべきだ。
MS15-068は、「Hyper-V」を実行しているWindowsユーザーに影響がある脆弱性で、これを悪用すると、ゲスト仮想マシンにマルウェアやその他のアプリケーションをインストールできる。ただし、この脆弱性を悪用するには、攻撃者はゲスト仮想マシンの正しいログイン資格情報を知っている必要がある。このセキュリティホールは、Windows 8、Windows 8.1、Windows Server 2008以降の各バージョンに影響がある。
MS15-069からMS15-077までのセキュリティ情報は、すべて深刻度は「重要」であり、WindowsとOfficeの両方が対象となっている。
今回の月例パッチでは、MS15-058も修正されていることに注意した方がよいだろう。これは、6月の月例パッチからは漏れていた脆弱性だ。このセキュリティホールは、SQL Server 2008以降の各バージョンに影響がある。
謝辞の欄には、GoogleのProject Zeroや、HPのZero Day Initiative、Trend Microなどの研究者が挙げられている。
本記事で言及したアップデートは、すべてできる限り速やかに適用すべきものばかりだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。