年が改まり、2016年最初の月例パッチが公開された。
緊急のセキュリティ情報のうち2件は、「Internet Explorer」と「Microsoft Edge」に存在する多数の脆弱性を修正するものだ。
Internet Explorerを対象とするセキュリティ情報(MS16-001)のもっとも重大な脆弱性が悪用された場合、攻撃者に誘導されてユーザーが特別に細工されたウェブページを表示すると、リモートから任意のコードを実行される可能性がある。攻撃者は現在のユーザーと同じユーザー権限を取得するため、管理者ユーザーはよりリスクが大きい。
これらの脆弱性のうち1件はすでに公になっているが、Microsoftはこのセキュリティホールを悪用した攻撃は確認されていないと述べている。
Windows 10でのみ利用できる新ブラウザであるMicrosoft Edgeにも、累積アップデートが公開されている。こちら(MS16-002)も、もっとも深刻な脆弱性が悪用されると、特別に細工されたウェブページを利用して、攻撃者にリモートから任意のコードを実行される可能性がある。
「Windows Server Technical Preview 3」および「Windows Server Technical Preview 4」も、これら2件の対象となっており、パッチを適用する必要がある。
他の緊急の脆弱性には、次のようなものがある。
MS16-003は、「Windows Vista」と「Windows Server 2008」のVBScriptエンジンに存在する緊急のセキュリティホールを修正している。この問題が悪用されると、攻撃者に対象システムを乗っ取られ、完全なユーザー権限を持つ新規アカウントの作成を含む、さまざまな攻撃を受ける可能性がある。
MS16-004は、「Microsoft Office」に存在する複数のメモリ破損の脆弱性を修正するものだ。Microsoft Officeの文書を開く処理および修正する処理に存在するセキュリティホールが悪用されると、攻撃者に対象システムを乗っ取られる可能性がある。幸い、この脆弱性を悪用するには、ユーザーを誘導してその文書を(例えば怪しいスパムメールなどを通じて)開かせる必要がある。
MS16-005は、一部バージョンのWindowsがメモリ内のオブジェクトを処理する方法に存在する、重大な脆弱性を修正している。この問題が悪用されると、攻撃者はアドレス空間の配置をランダム化する機能をバイパスして、メモリ内のオブジェクトを取得することができる。
MS16-006は、Windows用およびMac用の両方の「Silverlight」に存在する1件の脆弱性に関するもので、これが悪用されると、ログインしているユーザーが管理者の場合、対象システムの制御が完全に奪われてしまう可能性がある。この脆弱性は、サイト上でバナー広告などを使用しているウェブサイトを閲覧するユーザーにとっては問題となり得るが、幸い、Microsoftは現在までにこのセキュリティホールを悪用する攻撃は見つかっていないと述べている。
Microsoftは、他にも3つのパッチ(MS16-007、MS16-008、MS16-010)をリリースしている。これらは、特権昇格やなりすましなどの、Windowsに影響がある深刻度が「重要」のセキュリティホールを修正するものだ。
1月の月例パッチは、通常のアップデート方法で適用できる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
