日本マイクロソフトは2014年10月15日、Internet Explorer(IE)やWindowsなどに関するセキュリティ情報を8件公開した()。それらに含まれる脆弱性を悪用されると、Webページやファイルを開くだけでウイルスに感染する恐れなどがある。実際、一部の脆弱性については悪用(ゼロデイ攻撃)が確認されている。対策はセキュリティ更新プログラム(パッチ)の適用。

表●今回公開されたセキュリティ情報(日本マイクロソフト セキュリティチームのブログから引用)
[画像のクリックで拡大表示]

 今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのIE(IE 6/7/8/9/10/11)および全てのWindows(Windows Vista/7/8/8.1/RT/RT 8.1/Server 2003/Server 2008/Server 2008 R2/Server 2012/Server 2012 R2)、Office 2007/2010、Office for Mac 2011、Office 互換機能パック、.NET Framework 2.0/3.5/3.5.1/4.0/4.5/4.5.1/4.5.2、ASP.NET MVC 2.0/3.0/4.0/5.0/5.1、SharePoint Server 2010、Office Web Apps 2010。

 最大深刻度が「緊急」のセキュリティ情報は以下の3件。

(1)[MS14-056]Internet Explorer 用の累積的なセキュリティ更新プログラム (2987107)
(2)[MS14-057].NET Framework の脆弱性により、リモートでコードが実行される (3000414)
(3)[MS14-058]カーネルモード ドライバーの脆弱性により、リモートでコードが実行される (3000061)

 (1)は、IEに関するセキュリティ情報で、14件の脆弱性が含まれる。例えば、脆弱性を突くわなが仕込まれたWebサイトにアクセスするだけで、ウイルスに感染するなどの被害に遭う危険性がある。実際、そのうち1件については、悪用した攻撃が確認されている。対応策が提供される前の攻撃なので、いわゆる「ゼロデイ攻撃」である。

 同様に、(3)のWindowsに関する脆弱性についてもゼロデイ攻撃が確認されている。

 最大深刻度が上から2番目の「重要」に設定されているのは以下の5件。

(4)[MS14-059]ASP.NET MVC の脆弱性により、セキュリティ機能のバイパスが起こる (2990942)
(5)[MS14-060]Windows OLE の脆弱性により、リモートでコードが実行される (3000869)
(6)[MS14-061]Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (3000434)
(7)[MS14-062]メッセージ キュー サービスの脆弱性により、特権が昇格される (2993254)
(8)[MS14-063]FAT32 ディスク パーティション ドライバーの脆弱性により、特権が昇格される (2998579)

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら