ニュース
IEの“緊急”パッチなど、マイクロソフトが5月の月例パッチ13件を公開
(2015/5/13 12:58)
日本マイクロソフト株式会社は13日、5月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報13件を公開した。最大深刻度は、4段階中で最も高い“緊急”が3件、2番目の“重要”が10件。Internet Explorer(IE)、Windows、Officeなどの製品において、CVE番号ベースで計48件の脆弱性を修正している。
“緊急”のパッチは、「MS15-043」「MS15-044」「MS15-045」の3件。
MS15-043は、IEの累積的な修正パッチ。CVE番号ベースで22件の脆弱性を修正する。最も深刻な脆弱性が悪用された場合、特別に細工を施されたウェブページをIEで閲覧した際に、リモートでコードを実行させられる可能性がある。IE 11/10/9/8/7/6が影響を受ける。
MS15-044は、Microsoftフォントドライバーの修正パッチで、Windowsの.NET Frameworkコンポーネント、Office、Lync、Silverlightの2件の脆弱性(CVE-2015-1670、CVE-2015-1671)を修正する。最も深刻な場合、特別に細工を施された文書を開いた際やTrueTypeフォントファイルが埋め込まれた信頼されていないウェブページを表示した際に、リモートでコードを実行させられる可能性がある。影響を受けるソフトウェアは、Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008/2003、Office 2010/2007、Lync/Lync Basic 2013(Skype for business)、Lync 2010/2010 Attendee、Live Meeting 2007 Console、Silverlight 5/5 Developer Runtime(Mac版を含む)。
MS15-045は、Windows Journalコンポーネントの脆弱性を修正するパッチ。特別に細工を施されたジャーナルファイルを開いた際に、リモートでコードが実行される可能性がある。Windows 8.1/8/7/Vista、Windows RT 8.1/RT、Windows Server 2012 R2/2012/2008 R2/2008が影響を受ける。日本マイクロソフトによれば、このパッチで修正する2件の脆弱性(CVE-2015-1675、CVE-2015-1695)についてはすでに情報がすでに公開されているが、悪用は確認されていないという。
“重要”のパッチ7件は、Officeにおけるリモートコード実行の脆弱性に関する「MS15-046」、SharePoint Serverにおけるリモートコード実行の脆弱性に関する「MS15-047」、.NET Frameworkにおける特権昇格の脆弱性に関する「MS15-048」、Silverlightにおける特権昇格の脆弱性に関する「MS15-049」、サービスコントロールマネージャーにおける特権昇格の脆弱性に関する「MS15-050」、Windowsカーネルモードドライバーにおける特権昇格の脆弱性に関する「MS15-051」、Windowsカーネルにおけるセキュリティ機能バイパスの脆弱性に関する「MS15-052」、JScriptおよびVBScriptスクリプトエンジンにおけるセキュリティ機能バイパスの脆弱性に関する「MS15-053」、Microsoft管理コンソールにおけるサービス拒否の脆弱性に関する「MS15-054」、Schannelの情報漏えいの脆弱性に関する「MS15-055」。
日本マイクロソフトによれば、MS15-051ではCVE番号ベースで5件の脆弱性を修正するが、このうちWin32kの特権昇格の脆弱性(CVE 2015-1701)についてはすでに情報の公開・悪用が確認されているものだという。