日本マイクロソフトは9日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の7月分を公開した。6件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が2件、2番目に高い「重要」が3件、最も低い「警告」が1件となっている。

一部はすでにインターネット上に脆弱性情報が公開されていたが、現時点で悪用の形跡はないという。それに関わらず、緊急の脆弱性は早急なアップデートが推奨されている。

○Internet Explorer 用の累積的なセキュリティ更新プログラム (2975687)(MS14-037)

MS14-037は、Internet Explorerに含まれる24件の脆弱性に関する情報で、このうち1件はすでに脆弱性情報が公開されていた。

脆弱性情報が公開されていたのは、EV SSL証明書の実装が問題で、証明書のセキュリティ機能がバイパスされるというもの。現時点で悪用の形跡はないという。それ以外はすべてメモリ破損の脆弱性で、リモートでコードが実行される危険性がある。

対象となるのはInternet Explorer 6/7/8/9/10/11で、IE6はWindows Server 2013上のみアップデートが提供される。最大深刻度は全体で「緊急」、悪用可能性指標は「1」となっている。

○Windows Journal の脆弱性により、リモートでコードが実行される (2975689)(MS14-038)

MS14-038は、Windowsの手描き対応のノート作成ソフトWindows Journalで、特別に細工されたジャーナルファイル(.jnt)を開く際に攻撃が行われ、ファイル解析時にWindows Journalがクラッシュし、任意のコードが実行される危険性がある。

対象となるのは、Windows Vista/7/8/8.1/RT/RT 8.1、Server 2008/2012。最大深刻度は全体で「緊急」、悪用可能性指標は「1」まmたは「3」となっている。

○緊急度「重要」の脆弱性

これに加え、緊急度「重要」の脆弱性が3件、「警告」が1件公開されている。

・Ancillary Function ドライバー (AFD) の脆弱性により、特権が昇格される (2975684)(MS14-040)は、Windowsソケットアプリケーションようのドライバーに特権の昇格を引き起こす脆弱性が存在。これを悪用することで、カーネルモードで任意のコードが実行される危険性がある。対象となるのはWindows Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2008 R2/2012/2012 R2。

・DirectShow の脆弱性により、特権が昇格される (2975681)(MS14-041)は、DirectXの機能の1つであるDirectShowがメモリ内の特定のオブジェクトを不適切に処理することで、特権が昇格する、というもの。対象となるのはWindows Vista/7/8/8.1、Server 2003/2008/2008 R2/2012/2012 R2。

・スクリーン キーボードの脆弱性により、特権が昇格される (2975685)(MS14-039)は、Windowsのスクリーンキーボード(OSK)に特権が昇格される脆弱性があるというもの。アクセス制御による低整合性プロセスの脆弱性を悪用してスクリーンキーボードを起動し、特別に細工されたプログラムをローカルで実行することで特権が昇格する。対象となるのはWindows Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008/2008 R2/2012/2012 R2。

・Microsoft Service Bus の脆弱性により、サービス拒否が起こる (2972621)(MS14-042)は、Windows Serverにメッセージング機能を提供するコンポーネント「Microsoft Service Bus for Windows Server」が、メッセージングプロトコルの「AMQP」を正しく処理しないため、特別に細工されたメッセージを受信するとBusが応答しなくなる、というサービス拒否の脆弱性。対象となるのはWindows Server 2008 R2/2012/2012 R2上にインストールされているMicrosoft Service Bus 1.1。この脆弱性のみ、深刻度は「警告」となる。

(小山安博)