米国時間2月10日にリリースされたMicrosoftの月例パッチは9件のセキュリティ更新プログラムで構成されており、そのうちの以下3件はリモートからのコード実行に悪用可能な緊急レベルの脆弱性を修正するものだ。
- 「MS15-009」は、「Internet Explorer」を対象とした大規模なセキュリティ更新プログラムで、すでに公表されていた脆弱性1件と、非公開でMicrosoftに報告されていた40件の脆弱性が修正される。ただし、セキュリティ企業Deusenによって先日公表された、ウェブサイトの改ざんと認証情報の窃取に悪用可能なクロスサイトスクリプティング(XSS)脆弱性の修正は含まれていない。
- 「MS15-010」は、TrueTypeフォントを処理するカーネルレベルのコンポーネントに発見された6件の脆弱性を修正し、「Windows 7」「Windows 8.x」および「Windows Server 2008 R2」以降が対象となる。
- 「MS15-011」は、Windowsドメインに接続するデバイスへの攻撃に悪用可能な脆弱性を修正するもので、サポートされるWindowsの全バージョンが対象。脆弱性を悪用されると、攻撃者が制御するネットワークに接続するよう誘導され、リモートからコードを実行される可能性がある。
このMS15-011で修正される脆弱性は、ICANNの契約研究者Jeff Schmidt氏によって1年以上も前にMicrosoftに報告されていたもの。同氏によると、この脆弱性は極めて特殊な性質を持っていたので、修正に異例に長い時間を要することになったのだという。Microsoftは脆弱性を修正するために、OSの中核となるコンポーネントを再構築したうえで、幾つかの新機能を追加する必要があった。この件に関する詳細は、Microsoft公式のTechNetブログでも説明されている。
なお、Windows Server 2003を運用している場合は、このMS15-011に特別な注意を払う必要がある。なぜなら、Microsoftは開発に時間がかかりすぎるとして、Windows Server 2003用のパッチを提供しない方針だからである。Windows Server 2003の延長サポートが7月14日で終了する点と、この脆弱性が修正されない点を考慮すると、システム管理者はWindows Server 2003の本番環境からの廃止を検討すべき時期が来たのかもしれない。
重要レベルの「MS15-012」と「MS15-013」は「Microsoft Office」に関するもので、前者は細工を施されたOfficeドキュメントを通じてリモートからコードを実行される脆弱性、後者はセキュリティ機能をバイパスされる脆弱性をそれぞれ修正する。なお、Officeに関しては、「MS14-083」で報告されていた「Excel」の脆弱性も別途修正される。
「MS15-014」、「MS15-015」、「MS15-016」はいずれも重要レベル。「MS15-014」は中間者攻撃によってグループポリシーが低セキュリティの既定値に変更される脆弱性、「MS15-015」は特権昇格により管理者の資格情報を窃取される脆弱性、「MS15-016」は細工を施されたTIFFファイルを通じて情報を窃取される脆弱性をそれぞれ修正する。
重要レベルの「MS15-017」はMicrosoft System Center Virtual Machine Manager 2012 R2の脆弱性を修正する。デスクトップ版Windowsは脆弱性の影響を受けないが、Virtual Machine Managerを使用して複数の仮想サーバを運用している場合は重大な影響を受ける可能性がある。
今回の月例パッチに併せて、2014年10月にリリースされていた「セキュリティアドバイザリ3009008」が改訂された。それによると、今回の更新プログラムにより、Internet Explorer 11の保護モードのウェブサイトで、SSL 3.0へのフォールバックが防止されるようになった。また、2015年4月をもって、Internet Explorer 11とMicrosoftのオンラインサービス全般で、既定でSSL 3.0が無効化されることになった。SSL 3.0に関する変更点についてはMicrosoftの公式ブログ「IEBlog」でも説明されている。
一方、月例パッチとともにリリースされたオプションの更新プログラム「Visual Studio 2010年のツールの実行時のOfficeの更新プログラムのロールアップ」は、更新プロセスの停止を引き起こすという報告が多数寄せられた結果、リリース後2時間弱という最短記録に迫る早さで提供が中止された。
なお、AdobeもInternet Explorer 10および11用「Flash Player」のセキュリティ更新をリリースしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。