United States Computer Emergency Readiness Team (US-CERT)は3月23日(米国時間)、「Microsoft RCE Vulnerabilities Affecting Windows, Windows Server|CISA」において、現在サポートしているすべてのバージョンのWindowsおよびWindows Serverに緊急の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。
- ADV200006 | Type 1 Font Parsing Remote Code Execution Vulnerability
- VU#354840 - Microsoft Windows Type 1 font parsing remote code execution vulnerabilities
セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Windows 10(32ビット版)
- Windows 10(x64版)
- Windows 10 Version 1607(32ビット版)
- Windows 10 Version 1607(x64版)
- Windows 10 Version 1709(32ビット版)
- Windows 10 Version 1709(ARM64版)
- Windows 10 Version 1709(x64版)
- Windows 10 Version 1803(32ビット版)
- Windows 10 Version 1803(ARM64版)
- Windows 10 Version 1803(x64版)
- Windows 10 Version 1809(32ビット版)
- Windows 10 Version 1809(ARM64版)
- Windows 10 Version 1809(x64版)
- Windows 10 Version 1903(32ビット版)
- Windows 10 Version 1903(ARM64版)
- Windows 10 Version 1903(x64版)
- Windows 10 Version 1909(32ビット版)
- Windows 10 Version 1909(ARM64版)
- Windows 10 Version 1909(x64版)
- Windows 7(32ビット版 Service Pack 1)
- Windows 7(x64版 Service Pack 1)
- Windows 8.1(32ビット版)
- Windows 8.1(x64版)
- Windows RT 8.1
- Windows Server 2008(32ビット版 Service Pack 2)
- Windows Server 2008(32ビット版 Service Pack 2 Server Coreインストール)
- Windows Server 2008(Itanium版 Service Pack 2)
- Windows Server 2008(x64版 Service Pack 2)
- Windows Server 2008(x64版 Service Pack 2 Server Coreインストール)
- Windows Server 2008 R2(Itanium版 Service Pack 1)
- Windows Server 2008 R2(x64版 Service Pack 1)
- Windows Server 2008 R2(x64版 Service Pack 1 Server Coreインストール)
- Windows Server 2012
- Windows Server 2012(Server Coreインストール)
- Windows Server 2012 R2
- Windows Server 2012 R2(Server Coreインストール)
- Windows Server 2016
- Windows Server 2016(Server Coreインストール)
- Windows Server 2019
- Windows Server 2019(Server Coreインストール)
Adobe Type Manager Libraryにリモートコード実行の脆弱性が存在しており、影響を受けるプロダクトは多岐にわたるため注意が必要。
脆弱性の深刻度は最も高い緊急(Critical)に分類されており注意が必要。Microsoftはこの脆弱性について認識しており、現在修正へ向けた開発に取り組んでいるとされている。それまでは緩和策の適用を求めているが、その手順はそれほど簡単ではない。また、アップデートが提供された後には手動で元に戻す必要があると見られ、緩和策の適用および復元は慎重に作業することが求められる。