日本マイクロソフトは13日、毎月提供しているセキュリティ更新プログラム(月例パッチ)の4月分を公開した。過去最大規模の17件の脆弱性情報が公表されており、その中には事前に公表され、標的型攻撃に悪用された脆弱性も存在している。危険度の大きさを表す最大深刻度が最も高い「緊急」が9件、2番目の「重要」が8件となっており、対象となるユーザーはWindows Updateなどから早急にパッチを適用する必要があるだろう。

Internet Explorer 用の累積的なセキュリティ更新プログラム (2497640)(MS11-018)

MS11-018は、新たに報告されたInternet Explorerの脆弱性5件を解消するパッチ。以下の5つの脆弱性が含まれている。

  • レイアウトの処理のメモリ破損の脆弱性
  • MSHTMLのメモリ破損の脆弱性
  • フレームタグの情報漏えいの脆弱性
  • Javascriptの情報漏えいの脆弱性
  • オブジェクトの管理のメモリ破損の脆弱性

メモリ破損の3つの脆弱性に関しては、リモートで任意のコードが実行される深刻な脆弱性で、特にWindows XP/Vista上のIEでは深刻度が高い。また、MSHTMLの脆弱性に関してはすでに一般に公開されており、オブジェクトの管理の脆弱性に関しては一般公開はされていなかったが、標的型攻撃に悪用されていたという。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2上で動作するIE6/7/8。脆弱性の種類やOS、IEのバージョンによって危険度は異なるが、危険度を示す「最大深刻度」は全体として最も危険な「緊急」。悪用しやすさを示す悪用可能性指標は、脆弱性によって最も悪用しやすい1または最も悪用しにくい3。

SMB クライアントの脆弱性により、リモートでコードが実行される (2511455)(MS11-019)

MS11-019は、ネットワークファイル共有プロトコルのSMB(Server Message Block)に2件の脆弱性が存在、いずれもリモートで任意のコードが実行される危険性があるというもの。

「Browser Poolの破損の脆弱性」「SMBクライアントの応答の解析の脆弱性」2種類があり、前者の脆弱性は一般に公開されていたが、悪用された形跡はないという。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2。最大深刻度は全体として「緊急」、悪用可能性指標はそれぞれ2と1。

SMB サーバーの脆弱性により、リモートでコードが実行される (2508429)(MS11-020)

MS11-020は、MS11-019と同じくSMBプロトコルを処理する方法に問題があり、リモートで認証を必要としないコードが実行されるというもの。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2。最大深刻度は全体として「緊急」、悪用可能性指標は1となっている。

ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2508272)(MS11-027)

MS11-027は、WindowsにActiveXコントロールに関連する3件の脆弱性が存在するというもの。

「Microsoft Internet Explorer 8開発者ツールの脆弱性」「Microsoft WMITools の ActiveXコントロールの脆弱性」「Microsoft Windows Messenger の ActiveXコントロールの脆弱性」の3件で、いずれもKill Bitを設定することで脆弱性を解消。さらにサードパーティ製ActiveXコントロールに対するKill Bitが提供されている。

このうち、Microsoft Internet Explorer 8開発者ツールの脆弱性は事前に情報が一般公開されていたものの、悪用は確認されていない。

対象となるのは対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2。最大深刻度は全体として「緊急」となっている。なお、いずれも悪用可能性指標の対象外の脆弱性だ。

.NET Framework の脆弱性により、リモートでコードが実行される (2484015)(MS11-028)

MS11-028は、.NET FrameworkのJITコンパイラーが特定の関数呼び出しを正しくコンパイルしないため、リモートで任意のコードが実行される可能性があるというもの。

Web閲覧以外に、特別に細工されたWindows .NETアプリケーションを実行することでも攻撃が行われる。すでに一般に情報が公開されていたが、悪用された形跡はないという。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2上で動作する.NET Framework 2.0 SP2/3.5 SP1/3.5.1/4.0。最大深刻度は「緊急」、悪用可能性指標は1だ。

GDI+ の脆弱性により、リモートでコードが実行される (2489979)(MS11-029)

MS11-029は、Windowsのグラフィックを処理するGDI+が、特別に細工されたEMF(拡張メタファイル)形式のファイルを処理する際に問題が存在し、リモートで任意のコードが実行される危険性があるというもの。

対象となるのはWindows XP/Vista/Server 2003/Server 2008、Office XPで、最大深刻度は「緊急」、悪用可能性指標は1となっている。

DNS 解決の脆弱性により、リモートでコードが実行される (2509553)(MS11-030)

MS11-030は、DNSクライアントに含まれる「DNSAPI.dll」が特別に細工されたLLMNR(リンクローカルマルチキャスト名前解決)のブロードキャストクエリを処理する方法に問題があり、リモートでコードが実行される脆弱性。

対象となるのはLLMNRをサポートするWindows Vista/7/Server 2008/Server 2008 R2はリモートでコードが実行される「緊急」、Windows XP/Server 2003はDNSの脆弱性のみ存在し、ローカルアプリケーションを実行することで特権の昇格が起きる「重要」という扱い。悪用可能性指標は2だ。

JScript および VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (2514666)(MS11-031)

MS11-031は、JScript/VBScriptスクリプトエンジンのスクリプト処理に問題があり、リモートでコードが実行される脆弱性。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2上のJScript/VBScriptで、IE9に含まれるJScript 5.8/VBScript 5.8がインストールされている場合は影響を受けない。最大深刻度は「緊急」、悪用可能性指標は2となっている。

OpenType Compact Font Format (CFF) ドライバーの脆弱性により、リモートでコードが実行される (2507618)(MS11-032)

MS11-032は、OpenTypeフォントのうち、PostScript Type 1アウトラインが含まれるOpenType Compact Font Format(CFF)フォントを処理するドライバーに問題があり、リモートでコードが実行される脆弱性。

特別に細工されたOpenTypeフォントをインストールした際に攻撃が行われ、カーネルモードで悪意のあるコードが実行される危険性がある。

対象となるのはWindows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2で、最大深刻度は「緊急」、悪用可能性指標は2となっている。

「重要」の脆弱性

上記緊急の脆弱性に加え、8件の重要の脆弱性が公開されている。

Microsoft Excel の脆弱性により、リモートでコードが実行される (2489279)(MS11-021)
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (2489283)(MS11-022)
Microsoft Office の脆弱性により、リモートでコードが実行される (2489293)(MS11-023)
Windows FAX 送付状エディターの脆弱性により、リモートでコードが実行される (2527308)(MS11-024)
Microsoft Foundation Classes (MFC) ライブラリの脆弱性により、リモートでコードが実行される (2500212)(MS11-025)
MHTML の脆弱性により、情報漏えいが起こる (2503658)(MS11-026
ワードパッドのテキスト コンバーターの脆弱性により、リモートでコードが実行される (2485663)(MS11-033)
Windows カーネルモード ドライバーの脆弱性により、特権が昇格される (2506223)(MS11-034

セキュリティアドバイザリ

さらに、新たなセキュリティアドバイザリも公開している。

Microsoft Office 向けの Microsoft Office ファイル検証機能の公開(2501584)は、Office 2003/2007でファイル構造を改ざんした悪意のあるファイルを開く際に、その問題点を検知する機能で、すでにOffice 2010に搭載されていた機能が利用可能になる。MS11-021/MS11-022/MS11-023のパッチを適用することで利用できる。

Windows オペレーティング システム ローダー用の更新プログラム(2506014)は、Windows Vista/7/Server 2008/Server 2008 R2のx64エディションで、ドライバ署名を矯正しているにもかかわらず、署名されていないドライバをメモリ上に読み込んでしまう問題を解決する。

いずれも、アドバイザリのページにあるパッチを適用すればよい。