マイクロソフト、6月の月例パッチ5件公開、IEの“緊急”パッチなど

　日本マイクロソフト株式会社は12日、月例のセキュリティ更新プログラム（修正パッチ）とセキュリティ情報5件を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が1件、2番目に高い“重要”が4件。これらのパッチで修正された脆弱性は、CVE番号ベースで合計23件ある。

　最大深刻度が“緊急”の「MS13-047」は、Internet Explorer（IE）の累積的なセキュリティ更新プログラム。19件の脆弱性を修正する。最も深刻な脆弱性が悪用された場合、特別に細工されたウェブページをユーザーがIEで表示すると、リモートでコードが実行される恐れがある。Windows XP/Vista/7/8、Windows RT、Windows Server 2003/2008/2008 R2/2012上のIE 6/7/8/9/10が影響を受ける。

　最大深刻度が“重要”のものは、「MS13-048」「MS13-049」「MS13-050」「MS13-051」の4件。

　このうちMS13-051は、Microsoft Officeに見つかった1件の脆弱性を修正するもので、限定的な標的型攻撃に悪用されていることが確認されているという。特別に細工されたOfficeドキュメントをユーザーがOffice 2003またはOffice For Mac 2011で開いた場合に、リモートでコードが実行される恐れがある。あるいは、Wordをメールリーダーとして設定している環境では、特別に細工されたメールメッセージをOutlookでプレビューしたり開いたりした場合に、同様にリモートでコードが実行される恐れがあるという。なお、Officeのデフォルト設定では、OutlookのメールリーダーはWordには設定されていないとしている。

　日本マイクロソフトでは、MS13-047とMS13-051について、パッチの適用優先度が最も高い“1”と判定。パッチ適用の優先順位を設定する必要がある企業ユーザーにおいては、この2件を至急適用することを推奨している。

　そのほかの“重要”パッチは、MS13-048がWindowsカーネルの脆弱性により情報漏えいが起こる脆弱性を修正するもの。Windows XP/Vista/7/8、Windows Server 2003/2008の32ビット版のみに影響する（64ビット版は影響を受けない）。

　MS13-049はカーネルモードドライバーの脆弱性によりサービス拒否が起こる脆弱性を修正するもの、MS13-050はWindows印刷スプーラーコンポーネントの脆弱性により特権が昇格される脆弱性を修正するもので、いずれもWindows Vista/7/8、Windows RT、Windows Server 2008/2008 R2/2012が影響を受ける。

　日本マイクロソフトでは同日、これら5件のセキュリティ修正パッチのほか、新規セキュリティアドバイザリ（2854544）として「Windowsの暗号化とデジタル証明書の処理を改善するための更新プログラム」（KB2813430）も公開した。Windows Updateに直接接続できない企業ネットワーク内などのPCからも、失効した証明書のリストを更新できるようにするなどの機能強化を図ったという。