日本マイクロソフトは11日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の1月分を公開した。2017年最初の更新プログラムとなる今回は4件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が1件、2番目に高い「重要」が3件となっている。すでに公開が確認されている脆弱性もあり、対象となるユーザーは早急のアップデートが推奨されている。
Microsoft Edge 用のセキュリティ更新プログラム (3214288)(MS17-001)
MS17-001は、新ブラウザのMicrosoft Edgeに特権の昇格の脆弱性が存在する、というもの。「 about:blank」を伴うクロスドメインポリシーを適用しない場合に昇格が起り、別のドメインに情報を挿入する可能性がある。すでに一般に脆弱性が公開されていたが、悪用の形跡はないという。
対象となるのはMicrosoft Edgeで、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
Microsoft Office 用のセキュリティ更新プログラム (3214291)(MS17-002)
MS17-002は、Microsoft Officeにメモリ破損の脆弱性が存在し、最悪の場合リモートでコードが実行され、コンピュータの制御が完全に奪取される危険性がある。特別に細工されたファイルを開くことで攻撃が行われるが、プレビューウィンドウは攻撃対象にはならないという。
対象となるのはMicrosoft Office 2016、Word 2016、SharePoint Enterprise Server 2016で、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
Adobe Flash Player のセキュリティ更新プログラム (3214628)(MS17-003)
MS17-003は、Adobe Flash Playerに脆弱性が存在し、リモートでコードが実行されるというもの。デスクトップ版のInternet Explorerでは特別に細工されたFlashを表示させることで攻撃が行われる。Windows 8スタイルのUIで実行されるInternet Explorerでは互換表示(CV)リストに記載されたサイトにFlashコンテンツを設置する必要がある。
対象となるのはWindows 8.1/10/RT8.1、Server 2012/2012 R2/2016。最大深刻度は「緊急」となっている。
ローカル セキュリティ機関サブシステム サービス用のセキュリティ更新プログラム (3216771)(MS17-004)
MS17-004は、Windowsの認証における資格情報の管理を行う「ローカル セキュリティ機関サブシステム サービス(LSASS)にサービス拒否の脆弱性が存在するというモノ。
特別に細工された認証要求を送信することで、LSASSでサービス拒否が起こり、システムが自動的に再起動する可能性がある。
対象となるのはWindows Vista/7、Server 2008/2008 R2で、最大深刻度は「重要」、悪用可能性指標は「3」となっている。
