写真提供:マイナビニュース

写真拡大

日本マイクロソフトは12日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の4月分を公開した。今月からセキュリティ情報の公開がなくなり、「セキュリティ更新プログラムガイド」として新たに情報が提供されており、従来とは異なる体裁となっている。

また、旧OSのWindows Vistaは、米国時間4月11日で製品サポートが終了となった。今後のアップデートは提供されないため、OSのアップグレードが推奨されている。

○Internet Explorerの脆弱性

Internet Explorerの脆弱性として、以下の3つの脆弱性情報が公開され、パッチが提供されている。

・CVE-2017-0201 | スクリプト エンジンのメモリ破損の脆弱性
・CVE-2017-0202 | Internet Explorer のメモリ破損の脆弱性
・CVE-2017-0210 | Internet Explorer 特権の昇格の脆弱性

VBScriptとJScriptスクリプトエンジンに起因する脆弱性や、メモリ内のオブジェクトに不適切にアクセスする際にメモリが破損してリモートでコードが実行される脆弱性、適切にクロスドメインポリシーを適用しない場合に特権が昇格する脆弱性が存在している。このうち、特権の昇格の脆弱性はすでに悪用の事実が確認されているという。

○Microsoft Edgeの脆弱性

新ブラウザのMicrosoft Edgeには以下の5つの脆弱性情報が公開され、パッチが提供されている。

・CVE-2017-0093 | スクリプト エンジンのメモリ破損の脆弱性
・CVE-2017-0200 | Microsoft Edge のメモリ破損の脆弱性
・CVE-2017-0203 | Microsoft Edge のセキュリティ機能のバイパスの脆弱性
・CVE-2017-0205 | Microsoft Edge のメモリ破損の脆弱性
・CVE-2017-0208 | スクリプト エンジンの情報漏えいの脆弱性

Edgeがメモリ内のオブジェクトを処理する際に、スクリプトエンジンがレンダリングする方法に問題があり、リモートでコードが実行される恐れがある脆弱性、エッジ・コンテンツ・セキュリティ・ポリシー(CSP)が、特別な細工がされた文書の検証に失敗した場合にバイパスされる脆弱性、メモリ内のオブジェクトに不適切にアクセスする場合にリモートでコードが実行される脆弱性、Chakraスクリプトエンジンがメモリ内のオブジェクトを適切に処理しない場合に情報が漏えいする脆弱性がそれぞれ存在する。

○Windowsの脆弱性

Windowsに含まれる各種機能について、以下の脆弱性情報が提供され、パッチが公開されている。

・CVE-2017-0199 | Microsoft Office/ワードパッドWindows APIの w/リモート コード実行の脆弱性
・CVE-2017-0180 | Hyper-V のリモートでコードが実行される脆弱性
・CVE-2017-0181 | Hyper-V のリモートでコードが実行される脆弱性
・CVE-2013-6629 | libjpeg の情報漏えいの脆弱性
・CVE-2017-0058 | Win32k の情報漏えいの脆弱性
・CVE-2017-0155 | Windows Graphics の特権の昇格の脆弱性
・CVE-2017-0156 | 特権の脆弱性の Windows グラフィックス コンポーネントの昇格
・CVE-2017-0166 | LDAP の特権の昇格の脆弱性
・CVE-2017-0167 | Windows カーネルの情報漏えいの脆弱性
・CVE-2017-0168 | Hyper-V の情報漏えいの脆弱性
・CVE-2017-0169 | Hyper-V の情報漏えいの脆弱性
・CVE-2017-0178 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0179 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0182 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0183 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0184 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0185 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0186 | Hyper-V のサービス拒否の脆弱性
・CVE-2017-0188 | Win32k の情報漏えいの脆弱性
・CVE-2017-0189 | Win32k の特権の昇格の脆弱性
・CVE-2017-0191 | Windows のサービス拒否の脆弱性
・CVE-2017-0192 | ATMFD.dll の情報漏えいの脆弱性
・CVE-2017-0211 | 特権の脆弱性の Windows OLE 昇格

深刻度がもっとも高い「緊急」はCVE-2017-0180/181のHyper-Vの脆弱性2件で、さらにCVE-2017-0199の脆弱性は、すでに悪用の事実を確認しているという。

○Microsoft Officeの脆弱性

Officeに含まれる脆弱性として、以下の脆弱性情報が公開されている。

・CVE-2017-0199 | Microsoft Office/ワードパッドWindows APIの w/リモート コード実行の脆弱性
・CVE-2017-0106 | Microsoft Outlook のリモートでコードが実行される脆弱性
・CVE-2017-0194 | Microsoft Office のメモリ破損の脆弱性
・CVE-2017-0195 | Microsoft Office XSS の特権の昇格の脆弱性
・CVE-2017-0197 | Office DLL の読み込みの脆弱性
・CVE-2017-0204 | Microsoft Office のセキュリティ機能のバイパスの脆弱性
・CVE-2017-0207 | Microsoft Office のなりすましの脆弱性

「CVE-2017-0199」は、Windowsの脆弱性としても公開されているもので、素背にゼロデイ攻撃が行われているため、早急な対応が必要。深刻度「緊急」の脆弱性は「CVE-2017-0106」となっている。

○.NET Frameworkの脆弱性

.NET Frameworkに含まれる脆弱性として、以下の脆弱性が公開されている。

・CVE-2017-0160 | .NET のリモートでコードが実行される脆弱性

.NET Frameworkがライブラリを読み込む前に入力を適切に検証しない場合に、リモートでコードが実行される脆弱性で、深刻度は「緊急」となっている。

○Adobe Flash Playerの脆弱性

アドビのFlash Playerに脆弱性が含まれるため、Windows Update経由でのアップデーのと配信も行われている。

・2017-3447 | 4 月の Flash のセキュリティ更新プログラム

(小山安博)