Microsoftが3月の月例パッチ公開、“緊急”はEdge/IE11など

　日本マイクロソフト株式会社は14日、3月の月例セキュリティ更新プログラム（修正パッチ）をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものは13件含まれている。日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。

　対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer（IE）、Microsoft Office、Microsoft Office ServersおよびWeb Apps、Microsoft Exchange Server、ASP.NET Core、.NET Core、PowerShell Core、ChakraCore。また、Adobe Flash Playerの更新プログラムも公開されている。

　このうち最大深刻度が“緊急”の脆弱性の修正が含まれるのは、Microsoft Edge、IE11、ChakraCore、Adobe Flash Player。

　修正パッチに含まれる脆弱性の件数は、Adobe Flash Playerのものを除いてCVE番号ベースで74件。うち深刻度が“緊急”のものは13件で、このうち11件とAdobe Flash Playerの脆弱性「ADV180006」が、メモリ破損によりリモートからコードが実行される（RCE：Remote Code Execution）可能性のあるもの。ほか2件はMicrosoft Edgeにおける情報漏えいの脆弱性となる。

　また、「Meltdown」と呼ばれる、プロセッサの投機的実行のサイドチャネル攻撃に関する脆弱性「CVE-2017-5754」の脆弱性に対して、IntelがOEMに対して提供していたCore iシリーズの第6～8世代向けマイクロコードが、Windows 8.1/7の各x86版と、Windows Server 2012/2008向けにも新たに提供される。

　また、Windows公式ブログによれば、Windows 10向けには、一部で問題が生じていたアンチウイルスドライバの互換性チェックを解除しているという。ただし、互換性の問題が残るアンチウイルスがインストールされた環境では、Windows Updateが配信されないとのこと。

　このほか、Microsoft Exchangeにおける権限昇格の脆弱性「CVE-2018-0940」と、ASP.NET Coreにおけるサービス拒否の脆弱性「CVE-2018-0808」は、いずれも脆弱性情報が公表されていたものだが、深刻度は上から2番目の“重要”で、Microsoftでは悪用の可能性は「非常に低い」としている。

　また、ほかのアプリケーションの認証要求を処理する認証プロバイダー「CredSSP（Credential Security Support Provider）」における脆弱性は、中継したユーザーの資格情報を悪用してリモートから任意のコードを実行できる可能性のあるものとなる。この悪用には、悪意の第三者が特別に細工されたアプリケーションを実行し、リモートデスクトッププロトコルセッションに対して中間者攻撃を行う必要があるため、深刻度は“重要”となっている。しかしリリースノートによれば、この脆弱性を完全に保護するには、システムでグループポリシー設定を有効にし、リモートデスクトップクライアントを更新する必要がある。なお、グループポリシー設定は、接続の問題を防ぐために既定で無効になっているという。

　今回、修正パッチが提供されるWindows 10のバージョンは、「1709」（Fall Creators Update）、「1703」（Creators Update）、「1607」（Anniversary Update）。このほか、2015年11月に提供が開始された「1511」（November Update）のEnterprise/Educationの各エディション向けと、Windows 10初期バージョン「1507」のLTSB向けにもパッチが提供される。ただし、1607向けのパッチ提供は次回の4月10日配信分が最後となる。

　これら修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのWebサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。