マイクロソフトが5月の月例パッチ公開、IEのゼロデイ脆弱性の修正など計10件

　日本マイクロソフト株式会社は15日、月例のセキュリティ更新プログラム（修正パッチ）とセキュリティ情報10件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が2件、2番目に高い“重要”が8件。各修正パッチにより合計33件の脆弱性を修正する。

　最大深刻度が“緊急”のセキュリティ情報は、いずれもInternet Explorer（IE）に関する「MS13-037」「MS13-038」の2件。

　MS13-037は、IEに関する11件の脆弱性を修正する。影響を受けるソフトはIE6～10。脆弱性が悪用された場合、特別に細工されたページをIEで表示した際にコードを実行させられる可能性がある。修正した脆弱性の中には、セキュリティカンファレンス「CanSecWest」で開催されたクラッキングコンテスト「Pwn2Own」で報告された脆弱性の修正が含まれている。

　MS13-038は、IE8に発見された1件の脆弱性を修正する。また、IE9についても脆弱性の影響はないものの、問題を修正するための更新プログラムが提供されている。既にこの脆弱性を悪用する攻撃が確認されており、5月3日にはマイクロソフトがセキュリティアドバイザリを公表していた。

　MS13-038で修正する脆弱性については、攻撃を回避するための「Fix it」が5月9日に公開されている。Fix itを適用した状態でも修正パッチの適用は可能だが、Fix itを適用した場合にはIEの起動がわずかに遅くなるなどの影響があるとしており、マイクロソフトでは回避策を元に戻すためのFix itも提供している。

　最大深刻度が“重要”のセキュリティ情報は、HTTP.sysの脆弱性によりサービス拒否が起こる問題を解決する「MS13-039」や、.NET Frameworkの脆弱性によりなりすましが行われる問題を解決する「MS13-040」など計8件。

　このほか、Windows 7/RTおよびWindows Server 2012向けのIE10については、内蔵のFlash Playerをアップデートするための更新プログラムが公開されている。

　マイクロソフトでは、企業ユーザーが適用を最優先で検討すべきセキュリティ情報として、最大深刻度“緊急”の「MS13-037」「MS13-038」、最大深刻度“重要”の「MS13-039」の計3件を挙げている。