ニュース

MSが3月の月例パッチ公開、2月の公開延期分も含む計18件

 日本マイクロソフト株式会社は15日、3月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報18件を公開した。2月に公開を予定していたが、問題が発見されたため公開が延期となった修正パッチも、今月の修正パッチに含まれている。脆弱性の最大深刻度は、4段階で最も高い“緊急”が9件、2番目に高い“重要”が9件。

 すでに悪用が確認されている脆弱性や、米CERT/CCなどが注意を喚起していたSMBに関する脆弱性の修正なども含まれており、日本マイクロソフトではできるだけ早期に修正パッチを適用するよう呼び掛けている。

 最大深刻度が“緊急”のセキュリティ情報は、「MS17-006」「MS17-007」「MS17-008」「MS17-009」「MS17-010」「MS17-011」「MS17-012」「MS17-013」「MS17-022」の9件。

 「MS17-006」は、Internet Explorer(IE)に関する12件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、IE 9~11。修正する脆弱性のうち、1件の脆弱性(CVE-2017-0008)についてはすでに悪用が確認されており、3件の脆弱性(CVE-2017-0037、CVE-2017-0012、CVE-2017-0013)については事前に情報が公開されていたことが確認されている。

 「MS17-007」は、Microsoft Edgeに関する32件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをMicrosoft Edgeで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Windows 10およびWindows Server 2016上のMicrosoft Edge。修正する脆弱性のうち、5件の脆弱性(CVE-2017-0065、CVE-2017-0012、CVE-2017-0033、CVE-2017-0069、CVE-2017-0037)については事前に情報が公開されていたことが確認されている。

 「MS17-008」は、Windows Hyper-Vに関する6件の脆弱性を修正する。脆弱性が悪用された場合、ゲストOS上の認証された攻撃者が特別に細工したアプリケーションを実行した際に、悪意のあるコードを実行させられる可能性がある。Hyper-Vを有効にしていないユーザーは影響を受けない。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows Server 2016/2012 R2/2012/2008 R2/2008。修正する脆弱性のうち、1件の脆弱性(CVE-2017-0097)については事前に情報が公開されていたことが確認されている。

 「MS17-009」は、Windows PDFライブラリに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたPDFファイルを閲覧した際に、悪意のあるコードを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1、Windows Server 2016/2012 R2/2012。

 「MS17-010」は、Windows SMBサーバーに関する5件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたメッセージをSMBv1サーバーに送信することで、悪意のあるコードを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows Server 2016/2012 R2/2012/2008 R2/2008。

 「MS17-011」は、Windows Uniscribeに関する8件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトにアクセスしたり、特別に細工された文書を開いたりした際に、悪意のあるコードを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows Server 2016/2012 R2/2012/2008 R2/2008。

 「MS17-012」は、Windowsに関する6件の脆弱性を修正する。脆弱性が悪用された場合、攻撃者がiSNS Serverに接続して悪意のある要求をサーバーに発行する特別に細工されたアプリケーションを実行すると、悪意のあるコードを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows Server 2016/2012 R2/2012/2008 R2/2008。修正する脆弱性のうち、SMBに関する1件の脆弱性(CVE-2017-0016)は、Windowsをクラッシュさせてブルースクリーンの状態を引き起こす可能性があるとして、米CERT/CCなどが注意を喚起していた。

 「MS17-013」は、Microsoft Graphicsコンポーネントに関する12件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトにアクセスしたり、特別に細工された文書を開いたりした際に、悪意のあるコードを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows Server 2016/2012 R2/2012/2008 R2/2008。修正する脆弱性のうち、1件の脆弱性(CVE-2017-0005)についてはすでに悪用が確認されている。

 「MS17-023」は、IE 11/10およびMicrosoft Edgeに内蔵されているFlash Playerに関する脆弱性を修正する。Adobe Systemsからも、同じ脆弱性の修正に関するセキュリティ情報「APSB17-07」とアップデートプログラムが公開されている。影響を受けるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2016/2012 R2/2012。

 このほか、最大深刻度“重要”のセキュリティ情報として、Officeに関する「MS17-014」、Exchange Serverに関する「MS17-015」、Windows IISに関する「MS17-016」、Windowsカーネルに関する「MS17-017」、Windowsカーネルモードドライバーに関する「MS17-018」、Active Directoryフェデレーションサービスに関する「MS17-019」、Windows DVDメーカーに関する「MS17-020」、Windows DirectShowに関する「MS17-021」、Microsoft XML Core Servicesに関する「MS17-022」の9件が公開された。このうち、MS17-017で修正する1件の脆弱性については、事前に情報が公開されていたことが確認されている。