日本マイクロソフトは14日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の5月分を公開した。5月2日に定例外として公開された「MS14-021」に加え、2件の「緊急」の脆弱性、6件の「重要」の脆弱性が公開されている。
すでに攻撃が行われており、定例外アップデートとなった1件を含め、緊急の脆弱性は早急なアップデートが推奨されている。なお、Windows XP、Office 2003、Internet Explorer 6は、定例外アップデートを最後に、今後は提供されない予定だ。
Internet Explorer 用のセキュリティ更新プログラム (2962482)(MS14-029)
MS14-029は、Internet Explorerに含まれる2件の脆弱性で、IEがメモリ内のオブジェクトに不適切にアクセスしようとした場合に、任意のコードが実行される危険性がある、というもの。
いずれも脆弱性情報は、事前に一般には公開されていなかったが、1件に関して、標的型攻撃に悪用されていることを確認しているという。そのため、早急な対応が必要だろう。
対象となるのはInternet Explorer 6/7/8/9/10/11で、定例外アップデートで公開された脆弱性の修正が含まれている。最大深刻度は「緊急」、悪用可能性指標は「1」、適用優先度は「1」となっている。
Microsoft SharePoint Server の脆弱性により、リモートでコードが実行される (2952166)(MS14-022)
MS14-022は、SharePoint Serverがページコンテンツを適切にサニタイズせず、リモートでコードが実行される、という脆弱性。攻撃者はSharePointサイトで認証する必要があり、認証できない場合は攻撃が行えない。Microsoft Web Applicationsにも同様にリモートでコードが実行される脆弱性、クロスサイトスクリプティングの脆弱性による特権の昇格の脆弱性も存在している。
対象となるのは、SharePoint Server 2007/2010/2013、SharePoint Foundation 2010/2013、Project Server 2010/2013、Office Web Apps 2010/2013、SharePoint Server Client Components SDK、SharePoint Designer 2007/2010/20133。最大深刻度は全体で「緊急」、悪用可能性指標は「1」、適用優先度は「2」となっている。
Internet Explorer 用のセキュリティ更新プログラム (2965111)(MS14-021)
MS14-021は、定例外で公開された脆弱性で、Internet Explorerに脆弱性が存在。リモートでコードが実行されるというもので、すでに一般に脆弱性が公開され、実際の攻撃も確認されていることから、緊急で修正パッチが提供された。
IEがメモリ内のオブジェクトに不適切にアクセスしようとした場合にリモートでコードが実行されるという脆弱性で、標的型攻撃が確認されているという。
対象となるのはInternet Explorer 6/7/8/9/10/11/、最大深刻度は「重要」、悪用可能性指標は「1」、適用優先度は「1」となっている。
「重要」の脆弱性
最大深刻度「重要」の脆弱性として、6つの情報が公開されている。
・Microsoft Office の脆弱性により、リモートでコードが実行される (2961037)(MS14-023 )
・グループ ポリシー基本設定の脆弱性により、特権が昇格される (2962486)(MS14-025)
・.NET Framework の脆弱性により、特権が昇格される (2958732)(MS14-026)
・Windows シェル ハンドラーの脆弱性により、特権が昇格される (2962488)(MS14-027)
・iSCSI の脆弱性により、サービス拒否が起こる (2962485)(MS14-028)
・Microsoft コモン コントロールの脆弱性により、セキュリティ機能のバイパスが起こる (2961033)(MS14-024)
