日本マイクロソフトは13日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の4月分を公開した。13件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が6件、2番目に高い「重要」が7件となっている。すでに悪用が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。
Internet Explorer 用の累積的なセキュリティ更新プログラム (3148531)(MS16-037)
MS16-037は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。
メモリ内のオブジェクトに不適切にアクセスする場合に任意のコードが実行される恐れがある脆弱性や、DLLファイルを読み込む前に入力を不適切に検証することでリモートでコードを実行される危険性があるもの、JavaScriptを適切に処理しない場合に情報が漏えいする脆弱性などが存在する。
このうち、DLL読み込みに関する脆弱性はすでにインターネット上に公開されている。特別に細工されたアプリケーションを実行することで攻撃が行われる危険性があるため、注意が必要。
対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Edge 用の累積的なセキュリティ更新プログラム (3148532)(MS16-038)
MS16-038は、Windows 10の新ブラウザであるMicrosoft Edgeに脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。複数のメモリ破損の脆弱性に加え、特権の昇格の脆弱性も存在する。
対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Graphics コンポーネントのセキュリティ更新プログラム (3148522)(MS16-039)
MS16-039は、Windows、.NET Framework、Office、Skype for Business、Lyncにリモートでコードが実行される脆弱性が存在。Windowsカーネルモードドライバがメモリ内のオブジェクトを正しく処理しないことで、Win32kで特権の昇格が起きる脆弱性、Windowsフォントライブラリが埋め込みフォントを正しく処理せずにリモートでコードが実行される脆弱性も存在する。
このうち、特権の昇格の脆弱性は一般には公開されていないものの、すでに悪用が確認されており、早急な対策が必要となる。
対象となるのはWindows Vista/7/8.1/10/RT/RT 8.1、Server 2008/2008 R2/2012/2012 R2、.NET Framework 3.0/3.5/3.5.1、Office 2007/2010、Word Viewer、Live Meeting 2007 Console、Lync 2010/2013、Skype for Businessで、最大深刻度は「緊急」、悪用可能性指標は「0(悪用の事実を確認済み)」となっている。
Microsoft XML Core Services 3148541 用のセキュリティ更新プログラム (3148541)(MS16-040)
MS16-040は、Microsoft XMLコアサービス(MSXML)がユーザー入力を処理する方法に問題があり、リモートでコードが実行される脆弱性。Internet Explorer経由でMSXMLを呼び出すようなサイトで攻撃が行われる可能性がある。
対象となるのはWindows Vista/7/8.1/10/RT 8.1、Server 2008 R2/2012/2012 R2に含まれるXMLコアサービス3.0で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。
Microsoft Office 用のセキュリティ更新プログラム (3148775)(MS16-042)
MS16-042は、Officeのソフトウェアがメモリ内のオブジェクトを適切に処理しない場合に、リモートでコードが実行される複数の脆弱性が存在。特別に細工されたOfficeファイルを開くことで、任意のコードが実行される危険性がある。
対象となるのはOffice 2007/2020/2013/2016、Office互換機能パック、Excel/Word Viewer、Office for Mac 2011、Office 2016 for Mac、SharePoint Server 2007/2010/2013、Office Web Apps 2010/2013で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Adobe Flash Player のセキュリティ更新プログラム (3154132)(MS16-050)
MS16-050は、Adobe Flash Playerに含まれる脆弱性を解消するもので、Windows Updateを介して配布される。Flashを含むサイトを表示することで、リモートでコードが実行される危険性が存在する。
対象となるのはWindows 8.1/10/RT 8.1、Server 2012/2012 R2で、Internet Explorer 10/11とMicrosoft EdgeでのFlash Playerの問題が解決される。最大深刻度は「緊急」。
その他の脆弱性
これに加え、緊急度「重要」の脆弱性が7件公開されている。このうち、.NET Framework 用のセキュリティ更新プログラム (3148789)(MS16-041)とセカンダリ ログオン用のセキュリティ更新プログラム (3148538)(MS16-046)については脆弱性情報が一般に公開されており、今後の悪用の危険性もあるため、注意が必要だ。
・.NET Framework 用のセキュリティ更新プログラム (3148789)(MS16-041)
・Windows OLE 用のセキュリティ更新プログラム (3146706)(MS16-044)
・Windows Hyper-V 用のセキュリティ更新プログラム (3143118)(MS16-045)
・セカンダリ ログオン用のセキュリティ更新プログラム (3148538)(MS16-046)
・SAM および LSAD リモート プロトコル用のセキュリティ更新プログラム (3148527)(MS16-047)