ニュース
MSが5月の月例パッチ公開、IEのゼロデイ脆弱性修正など計16件
(2016/5/11 12:23)
日本マイクロソフト株式会社は11日、5月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報16件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が8件、2番目に高い“重要”が8件。
5月のセキュリティ情報のうち最大深刻度が“緊急”のものは、「MS16-051」「MS16-052」「MS16-053」「MS16-054」「MS16-055」「MS16-056」「MS16-057」「MS16-064」の8件。
「MS16-051」は、Internet Explorer(IE)に関する5件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトはIE 9~11。
MS16-051で修正する脆弱性のうち、1件(CVE-2016-0188)については事前に情報が公開されていたことが確認されており、1件(CVE-2016-0189)については既に悪用が確認されている。Symantecなどによると、CVE-2016-0189は韓国での標的型攻撃において悪用が確認されたという。
「MS16-052」は、Microsoft Edgeに関する4件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをMicrosoft Edgeで表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Windows 10上のMicrosoft Edge。
「MS16-053」は、JScriptおよびVBScriptに関する2件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページを表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Windows Vista、Windows Server 2008 R2/2008、VBScript 5.8/5.7、JScript 5.8。
MS16-053は、MS16-051と同様の脆弱性を修正するもので、IEがインストールされていないシステムや、IE 7以前がインストールされているシステムに適用される。
「MS16-054」は、Officeに関する4件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたOfficeファイルを開いた際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるソフトは、Office 2016/2013/2010/2007、Office 2013 RT、Office 2016 for Mac、Office for Mac 2011、SharePoint Server 2010、Office Web Apps 2010、Office互換機能パック、Word Viewer。
「MS16-055」は、Microsoft Graphicsコンポーネントに関する5件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工された文書を開いた際や、特別に細工されたフォントが埋め込まれたウェブページを表示した際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1、Windows Server 2012 R2/2012/2008 R2/2008。
「MS16-056」は、Windows Journalに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたジャーナルファイル(.jnt)を開いた際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1/7/Vista、Windows RT 8.1。
「MS16-057」は、Windows Shellに関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブサイトの閲覧やコンテンツを開いた際に、悪意のあるプログラムを実行させられる可能性がある。影響を受けるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2012 R2。
「MS16-064」は、IE 11/10およびMicrosoft Edgeに内蔵されるFlash Playerに関する24件の脆弱性を修正する。影響を受けるOSは、Windows 10/8.1、Windows RT 8.1、Windows Server 2012 R2/2012。
MS16-064で修正する脆弱性については、Adobe Systemsのセキュリティ情報「APSB16-15」が参照先として示されているが、現時点ではこのセキュリティ情報は公開されていない。Adobe Systemsでは米国時間5月10日、セキュリティアドバイザリ「APSA16-02」を公開し、MS16-064で修正する脆弱性とは異なる脆弱性(CVE-2016-4117)の悪用が既に確認されているとして、米国時間5月12日までにセキュリティアップデートを提供することを明らかにしている。
このほか、最大深刻度“重要”のセキュリティ情報として、Windows IISに関する「MS16-058」、Windows Media Centerに関する「MS16-059」、Windowsカーネルに関する「MS16-060」、Microsoft RPCに関する「MS16-061」、Windowsカーネルモードドライバーに関する「MS16-062」、.NET Frameworkに関する「MS16-065」、仮想保護モードに関する「MS16-066」、ボリュームマネージャードライバーに関する「MS16-067」の8件が公開された。このうち、「MS16-065」で修正する脆弱性については、事前に情報が公開されていたことが確認されている。