マイクロソフトが月例パッチを公開--深刻な脆弱性まだ残る

Ed Bott (Special to ZDNet.com) 翻訳校正: 編集部 2015年02月12日 12時29分

  • このエントリーをはてなブックマークに追加

 米国時間2月10日にリリースされたMicrosoftの月例パッチは9件のセキュリティ更新プログラムで構成されており、そのうちの以下3件はリモートからのコード実行に悪用可能な緊急レベルの脆弱性を修正するものだ。

  • MS15-009」は、「Internet Explorer」を対象とした大規模なセキュリティ更新プログラムで、すでに公表されていた脆弱性1件と、非公開でMicrosoftに報告されていた40件の脆弱性が修正される。ただし、セキュリティ企業Deusenによって先日公表された、ウェブサイトの改ざんと認証情報の窃取に悪用可能なクロスサイトスクリプティング(XSS)脆弱性の修正は含まれていない。
  • MS15-010」は、TrueTypeフォントを処理するカーネルレベルのコンポーネントに発見された6件の脆弱性を修正し、「Windows 7」「Windows 8.x」および「Windows Server 2008 R2」以降が対象となる。
  • MS15-011」は、Windowsドメインに接続するデバイスへの攻撃に悪用可能な脆弱性を修正するもので、サポートされるWindowsの全バージョンが対象。脆弱性を悪用されると、攻撃者が制御するネットワークに接続するよう誘導され、リモートからコードを実行される可能性がある。

 このMS15-011で修正される脆弱性は、ICANNの契約研究者Jeff Schmidt氏によって1年以上も前にMicrosoftに報告されていたもの。同氏によると、この脆弱性は極めて特殊な性質を持っていたので、修正に異例に長い時間を要することになったのだという。Microsoftは脆弱性を修正するために、OSの中核となるコンポーネントを再構築したうえで、幾つかの新機能を追加する必要があった。この件に関する詳細は、Microsoft公式のTechNetブログでも説明されている。

 なお、Windows Server 2003を運用している場合は、このMS15-011に特別な注意を払う必要がある。なぜなら、Microsoftは開発に時間がかかりすぎるとして、Windows Server 2003用のパッチを提供しない方針だからである。Windows Server 2003の延長サポートが7月14日で終了する点と、この脆弱性が修正されない点を考慮すると、システム管理者はWindows Server 2003の本番環境からの廃止を検討すべき時期が来たのかもしれない。

 重要レベルの「MS15-012」と「MS15-013」は「Microsoft Office」に関するもので、前者は細工を施されたOfficeドキュメントを通じてリモートからコードを実行される脆弱性、後者はセキュリティ機能をバイパスされる脆弱性をそれぞれ修正する。なお、Officeに関しては、「MS14-083」で報告されていた「Excel」の脆弱性も別途修正される。

 「MS15-014」、「MS15-015」、「MS15-016」はいずれも重要レベル。「MS15-014」は中間者攻撃によってグループポリシーが低セキュリティの既定値に変更される脆弱性、「MS15-015」は特権昇格により管理者の資格情報を窃取される脆弱性、「MS15-016」は細工を施されたTIFFファイルを通じて情報を窃取される脆弱性をそれぞれ修正する。

 重要レベルの「MS15-017」はMicrosoft System Center Virtual Machine Manager 2012 R2の脆弱性を修正する。デスクトップ版Windowsは脆弱性の影響を受けないが、Virtual Machine Managerを使用して複数の仮想サーバを運用している場合は重大な影響を受ける可能性がある。

 今回の月例パッチに併せて、2014年10月にリリースされていた「セキュリティアドバイザリ3009008」が改訂された。それによると、今回の更新プログラムにより、Internet Explorer 11の保護モードのウェブサイトで、SSL 3.0へのフォールバックが防止されるようになった。また、2015年4月をもって、Internet Explorer 11とMicrosoftのオンラインサービス全般で、既定でSSL 3.0が無効化されることになった。SSL 3.0に関する変更点についてはMicrosoftの公式ブログ「IEBlog」でも説明されている。

 一方、月例パッチとともにリリースされたオプションの更新プログラム「Visual Studio 2010年のツールの実行時のOfficeの更新プログラムのロールアップ」は、更新プロセスの停止を引き起こすという報告が多数寄せられた結果、リリース後2時間弱という最短記録に迫る早さで提供が中止された。

 なお、AdobeもInternet Explorer 10および11用「Flash Player」のセキュリティ更新をリリースしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]