マイクロソフトは13日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の3月分を公開した。7件の脆弱性情報が公開されており、最大深刻度がもっとも大きい「緊急」の脆弱性が4件あり、対象となるユーザーは早急なアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (2809289)(MS13-021)
MS13-021は、Internet Explorerに9つの脆弱性があり、リモートで任意のコードが実行されるというもの。いずれもメモリを解放したあとの問題で、削除されたメモリ内のオブジェクトにアクセスする方法に脆弱性が存在する。
このうち1件はすでに脆弱性の情報が公開されているが、悪用されたという報告はない、という。
対象となるのはIE 6/7/8/9/10だが、Windows 7用IE10は影響を受けないが、Windows RT用のIE10は脆弱性の影響を受ける。最大深刻度は全体で「緊急」、悪用可能性指標は最大で「1」となっている。
 |
セキュリティ TechCenter(マイクロソフト セキュリティ情報 MS13-021) |
Silverlight の脆弱性により、リモートでコードが実行される (2814124)(MS13-022)
MS13-022は、Microsoft SilverlightがHTMLオブジェクトをレンダリングする際に、メモリポインターを正しく参照しないことで、リモートでコードが実行されるという脆弱性。特別に細工されたSilverlightアプリケーションを含むWebサイトを閲覧した場合などに攻撃が行われる危険性がある。
対象となるのはWindows・Mac向けSilverlight 5で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Visio Viewer 2010 の脆弱性により、リモートでコードが実行される (2801261)(MS13-023)
MS13-023は、Microsoft Visioファイルの解析で正しく処理が行われないため、リモートでコードが実行される、というもの。Visio自体ではなく、Visio Viewerに問題があり、特別に細工されたVisioファイルの閲覧で攻撃が行われる。
対象となるのはVisio Viewer 2010で、Visio 2003/2007/2013、Visio Viewer 2013は影響を受けない。最大深刻度は「緊急」、悪用可能性指標は「2」となっている。
SharePoint の脆弱性により、特権が昇格される (2780176)(MS13-024)
MS13-024は、SharePointに4つの脆弱性が存在し、特権の昇格およびサービス拒否の攻撃が行われる危険性がある、というもの。特権の昇格により、許可されていないコンテンツの閲覧、権限の変更、コンテンツの削除、SharePointサイトの操作などが行われる危険性がある。サービス拒否では、W3WPプロセスが終了させられる可能性がある。
対象となるのはSharePoint Server 2010/Foundation 2010で、SharePoint Server 2007/2013、Groove 2007、Groove Server 2007/2010、SharePoint Portal Server 2003、SharePoint Services 2.0/3.0、SharePoint Foundation 2013、SharePoint Workspace 2010は影響を受けない。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
「重要」の脆弱性
さらに、最大深刻度「重要」の脆弱性として、3つの脆弱性が公開されている。
・Microsoft OneNote の脆弱性により、情報の漏えいが起こる (2816264)(MS03-025)
・Office Outlook for Mac の脆弱性により、情報漏えいが起こる (2813682)(MS03-026)
・カーネルモード ドライバーの脆弱性により、特権の昇格が起こる (2807986)(MS03-027)
