日本マイクロソフトは9日、毎月提供しているセキュリティ更新プログラムの3月分を公開した。危険度を示す最大深刻度「緊急」が1件、それに続く「重要」の3件の修正パッチが提供されており、いずれも外部DLLをロードする方法に問題があったため、これを修正するパッチとなっている。対象となるユーザーはWindows Updateなどからパッチをダウンロードしてインストールする必要がある。
Windows Media の脆弱性により、リモートでコードが実行される (2510030)(MS11-015)
MS11-015は、Windowsでメディアファイルを再生するためのDirectShowに脆弱性が存在し、メディアファイルを再生しようとすると特別に細工されたDLLファイルがロードされてしまい、任意のコードが実行されてしまうという問題と、Windows Media Player/Media Centerが.dvr-msメディアファイルを適切に解析しないため、任意のコードが実行さえてしまうという2つの脆弱性が含まれている。
どちらも、デジタル放送を録画するなどしたファイルであるMicrosoft Digital Video Recording(.dvr-ms)ファイルの処理で問題が生じるほか、DirectShowは.wtv、.mpgといったファイルを開いた場合にも脆弱性が存在する。DirectShowの脆弱性に関しては、すでにインターネット上で情報が公開されていたが、現時点で悪用は確認されていないという。
対象となるのはWindows XP Media Center Edition 2005/XP/Vista/7/Server 2008で、Windows VistaでMedia Center TV Packを利用している場合、専用のパッチも同時に提供される。最大深刻度は「緊急」、悪用しやすさを示す悪用可能性指標は、いずれももっとも悪用されやすい「1」。
Microsoft Groove の脆弱性により、リモートでコードが実行される (2494047)(MS11-016)
MS11-016は、Microsoft Officeファミリに含まれる「Microsoft Groove」に脆弱性が存在。外部DLLをロードする方法に問題があり、Grooveファイルと同じフォルダにある特別に細工されたDLLを読み込んでしまい、任意のコードが実行されてしまうというもの。
Grooveが利用するvCard(.vcg)ファイルやコンテンツ配布用のGroove Tool Archive(.gta)などのファイルを開こうとすると問題が発生する可能性がある。この脆弱性もインターネット上に事前公開されていたが、悪用された形跡はないという。
対象となるのはGroove 2007で、サーバー向けのGroove Server 2007/2010、SharePoint Workspace 2010は影響を受けない。最大深刻度は「重要」で、悪用可能性指標は「1」となっている。
リモート デスクトップ クライアントの脆弱性により、リモートでコードが実行される (2508062)(MS11-017)
MS011-017は、離れたPCに対してアクセスするためのWindowsの機能であるWindowsリモートデスクトップ機能を利用するクライアント側に脆弱性が存在し、特別に細工された外部DLLが読み込まれることで、リモートでコードが実行される危険性がある。
今回の脆弱性では、リモートデスクトップを利用する「Windowsリモートデスクトップクライアント」で使われる設定ファイル「リモートデスクトップ構成ファイル(.rdp)」を開くことで、誤った外部DLLのロードが行われ、DLLのコードが実行されてしまう。この脆弱性もインターネット上で情報が公開されていたが、悪用は確認されていないという。
対象となるリモートデスクトップ接続クライアントは、OSによってバージョンが異なり、Windows XPのバージョン5.2/6.0/7.0、Windows Server 2003の6.0、Windows Vista/Server 2008の6.1/7.0、Windows 7/Server 2008 R2の7.0となっており、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
悪意のあるソフトウェア削除ツールも更新
パッチインストール時に、Windowsに感染しているマルウェアの駆除を行う「悪意のあるソフトウェア削除ツール(MSRT)」も更新され、新たに「Win32/Renocide」の駆除に対応した。
また、同社は2月23日にセキュリティアドバイザリを更新し、Windows XP/Vista/Server 2003/2008で使われている自動実行(Autorun)を無効にする更新プログラムを自動更新で提供するようにした。これまでも、Windows Updateなどの自動更新で適用されるようになっていたが、ユーザーが特別な操作をしなくてもインストールされるように変更している。
Autorunは、CD/DVD/USBドライブなどの外部メディア接続時にファイルを自動実行する機能で、多くのマルウェアが悪用していた。昨年1年間で発見されたマルウェアのトップ10のうち、4種類のマルウェアがAutorunを悪用しており、Autorunが有効なWindows XPと無効なWindows 7を比べた場合、Autorun悪用マルウェアへの感染率がWindows 7は1/10程度になったという。自動更新で無効化することによって、こうしたマルウェアの被害を減らすことを狙っている。