2014年7月9日水曜日

Microsoft、月例セキュリティ情報を公開 IEに24件の脆弱性

 米Microsoftは7月8日(日本時間9日)、予告通りに6件の月例セキュリティ情報を公開し、WindowsやInternet Explorer(IE)に存在する計29件の脆弱性に対処した。

 6件のセキュリティ情報のうち、IEの累積的なセキュリティ更新プログラムと、Windows Journalの脆弱性に対処する更新プログラムの2件は、深刻度が4段階で最も高い「緊急」に該当する。

 IEでは24件の脆弱性が修正された。このうちの1件は事前に情報が公開されていたが、現時点で脆弱性の悪用を試みる攻撃は確認されていないという。これらの脆弱性を悪用された場合、細工を施したWebページをユーザーに閲覧させる手口によって、任意のコードを実行される恐れがある。この問題はIE 6~11の全バージョンで確認され、特にクライアント版が深刻な影響を受ける。

 Windows Journalの脆弱性は、ジャーナルファイルを解析する方法に問題があり、不正なファイルを使って任意のコードを実行される恐れがある。影響を受けるのは、Windows Vista以降のクライアント版とサーバ版(Itaniumベースのシステムを除く)の全バージョン。なお、Windows Serverはデフォルトの状態ではWindows Journalはインストールされていないという。

 残る4件のうち3件は深刻度が上から2番目の「重要」レベルで、オンスクリーンキーボード(OSK)、Ancillary Functionドライバ(AFD)、DirectShowに存在する特権昇格の脆弱性にそれぞれ対処した。オンスクリーンキーボードの脆弱性では画面上に表示されたキーボードを攻撃者に操作され、細工を施したプログラムを仕込まれる恐れがある。

 また、Windows Server向けMicrosoft Service Busの脆弱性は、サービス妨害(DoS)攻撃に利用される恐れがある。同製品はMicrosoftのOSの付属としての出荷は行っておらず、深刻度は下から2番目の「警告」レベル。脆弱性情報は事前に公開されていたが、現時点で悪用を試みる攻撃の発生は確認されていないという。

0 comments:

コメントを投稿