日本マイクロソフトは4月9日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の4月分を公開した。4件の脆弱性情報が公開されており、最大深刻度がもっとも大きい「緊急」が2件、2番目の「重要」が2件。1件は3月にセキュリティアドバイザリが発行された脆弱性で、すでに悪用が確認されているため、対象となるユーザーは早急なアップデートが推奨されている。

また、今回のアップデートは、Windows XP、Office 2003、Internet Explorer 6に関しては、2014年4月9日でサポートが終了するため、最後の更新プログラムの提供となる。今後、更新プログラムが提供されないため、対象ユーザーは製品のアップデートが推奨されている。

Microsoft Word および Office Web Apps の脆弱性により、リモートでコードが実行される (2949660)(MS14-017)

MS14-017は、Microsoft WordやOffice Web Appsに含まれる3件の脆弱性に関するパッチ。このうち、Wordが特別に細工されたRTFファイルを、開く際に任意のコードが実行される脆弱性は、3月25日セキュリティアドバイザリが公開されていたもので、Fix itは公開されていたが、今回正式に対応が行われた。

また、Officeが特別に細工されたWordファイル(.doc)ファイルを新しいファイル形式に変換するときにメモリを適切に割り当てず、ユーザー権限でコードが実行されるという脆弱性が存在。

さらに、Wordが特別に細工されたOfficeファイルの解析でメモリ内の値を正しく処理しないため、任意のコードが実行される、という脆弱性が存在する。

今回の更新プログラムによって脆弱性が解消される。RTFファイルに関する脆弱性に関するパッチは、3月のFix itを適用していても更新ができるが、RTFファイルを無効化しているため、RTFファイルを利用する場合は、Fix itを解除する必要がある。

対象となるのはOffice 2003/2007/2010/2013/2013 RT、Office for Mac 2011、Word Viewer、Office互換機能パック、SharePoint Server 2010/2013、Office Web Apps 2010/2013。最大深刻度は「緊急」、悪用可能性指標は「1」、適用優先度は「1」となっている。

Internet Explorer 用の累積的なセキュリティ更新プログラム (2950467)(MS14-018)

MS14-018は、Internet Explorerに含まれる複数のメモリ破損の脆弱性を解消する更新プログラム。6件の脆弱性があり、いずれもリモートでコードが実行される危険性がある。

それぞれの脆弱性で影響を受けるIEのバージョンが異なるが、全体ではInternet Explorer 6/7/8/9/11が対象となる。IE10だけは、今回の脆弱性の影響を受けない形だ。

最大深刻度は「緊急」、悪用可能性指標は「1」、適用優先度は「1」となっている。

Microsoft Publisher の脆弱性により、リモートでコードが実行される (2950145)(MS14-020)

MS14-020は、特別に細工された.pubファイルをMicrosoft Publisherコンバーターが解析する際に、メモリ内のオブジェクトを正しく認識しないために、リモートでコードが実行される危険性があるというもの。

対象となるのはPublisher 2003/2007。Office 2003またはOffice 2007に含まれるソフトウェアのため、Office 2003の最後のパッチの1つとなる。最大深刻度は「重要」、悪用可能性指標は「1」、適用優先度は「1」となっている。

Windows のファイル操作コンポーネントの脆弱性により、リモートでコードが実行される (2922229)(MS14-020)

MS14-020は、外部のネットワークから実行された.bat/.cmdファイルを処理する際に、Windowsがパスを不適切に制限することで、リモートでコードが実行される脆弱性。

対象となるのはWindows XP/Vista/7/8/8.1/RT/RT 8.1、Server 2003/2008 R2/2012/2012 R2。最大深刻度は「重要」、悪用可能性指標は「1」、適用優先度は「3」。Windows XPに対する最後のアップデートの1つとなる。

前述の通り、5月の月例パッチの提供からWindows XP、Office 2003、Internet Explorer 6の更新プログラムは提供されなくなる。また、Windows 8.1は5月以降、4月9日に公開されたWindows 8.1 Updateを適用された状態でないと、更新プログラムが表示されなくなるという。Windows 8.1ユーザーは、できるだけ早い段階でUpdateを適用する必要がある。