MSが4月の月例パッチ17件を公開、IEやSMBなどに関する多数の脆弱性を修正
マイクロソフトは12日、月例のセキュリティ情報17件とセキュリティ更新プログラム(修正パッチ)を公開した。脆弱性の最大深刻度は、4段階で最も高い“緊急”が9件、2番目に高い“重要”が8件。修正パッチにより、Internet Explorer(IE)などに影響のある計64件の脆弱性を修正する。
米Microsoft Security Response Centerでは、脆弱性の最大深刻度が“緊急”の9件のうち、特にIEに関する「MS11-018」と、SMBクライアントに関する「MS11-019」、SMBサーバーに関する「MS11-020」の3件を最優先で適用するよう求めている。また、ActiveXのKill Bitを設定する「MS11-027」、.NET Frameworkに関する「MS11-028」の2件も、適用の優先順位が高い修正パッチとされている。
「MS11-018」は、IEに関する5件の脆弱性を修正する。脆弱性はIE8/7/6に影響があるが、IE9には影響しない。5件のうち1件は脆弱性情報が事前に一般に公開されている。既に限定的な攻撃も確認されており、セキュリティカンファレンス「CanSecWest 2011」のクラッキングコンテストでもこの脆弱性が利用されるなど、今後広く悪用される危険性の高い状況となっていることから、マイクロソフトでは全ユーザーに対して早急に修正パッチの適用を呼びかけている。
「MS11-019」は、SMBクライアントに関する2件の脆弱性を修正する。現在サポートされている全てのOS(Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003)が影響を受ける。2件のうち1件は脆弱性情報が事前に一般に公開されているが、現時点ではこの脆弱性を悪用する攻撃は確認されていない。
「MS11-020」は、SMBサーバーに関する1件の脆弱性を修正する。現在サポートされている全てのOS(Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003)が影響を受ける。脆弱性が悪用された場合、特別に細工されたパケットを受信することで、任意のコードを実行させられる危険がある。現時点ではこの脆弱性を悪用した攻撃は確認されていない。
「MS11-027」は、IEのActiveXコントロールに関する3件の脆弱性を修正する。現在サポートされている全てのOS(Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003)が影響を受ける。脆弱性の存在が確認されているActiveXコントロールに対して、使用を禁止する「Kill Bit」を設定するもので、IE8の開発者ツールなど3件のActiveXコントロールを使用禁止にする。また、Oracle、CA、IBMのActiveXコントロールについても、各社からの要請を受けてそれぞれKill Bitの設定を行っている。
「MS11-028」は、.NET Frameworkに関する1件の脆弱性を修正する。現在サポートされている全てのOS(Windows 7/Vista/XP、Windows Server 2008 R2/2008/2003)が影響を受ける。脆弱性が悪用された場合、特別に細工されたウェブページを閲覧した場合、任意のコードを実行させられる危険がある。
このほか、GDI+に関する「MS11-029」、DNSに関する「MS11-030」、JScript/VBScriptに関する「MS11-031」、OpenType Compact Font Formatに関する「MS11-032」の4件が、脆弱性の最大深刻度“緊急”とされている。いずれも脆弱性が悪用された場合、任意のコードを実行させられる危険がある。
脆弱性の最大深刻度が“重要”の8件の中では、MHTMLに関する「MS11-026」が既に悪用が確認されており、マイクロソフトが1月にセキュリティアドバイザリを公開していた脆弱性を修正する。また、Office関連の「MS11-023」、Windows FAX送付状エディター関連の「MS11-024」、MFCライブラリ関連の「MS11-025」の3件は、脆弱性情報が事前に一般に公開されている。