【レポート】マイクロソフト、月例セキュリティ更新(3月) - 「緊急」5件、「重要」8件の脆弱性 | ニコニコニュース

日本マイクロソフトは9日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の3月分を公開した。13件の脆弱性情報が公開され、深刻度がもっとも高い「緊急」が5件、2番目に高い「重要」が8件となっている。悪用が確認されている脆弱性はないが、対象となるユーザーは早急のアップデートが推奨されている。

○Internet Explorer 用の累積的なセキュリティ更新プログラム (3142015) (MS16-023)

MS16-023は、Internet Explorerに複数の脆弱性が存在し、最悪の場合、特別に細工されたWebページを表示するだけでリモートでコードが実行される、というもの。複数のメモリ破損の脆弱性が存在し、すべて任意のコードが実行される恐れがある。

対象となるのはInternet Explorer 9/10/11で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

○Microsoft Edge 用の累積的なセキュリティ更新プログラム (3142019) (MS16-024)

MS16-024は、Windows 10の新ブラウザであるMicrosoft Edgeに脆弱性が存在。最悪の場合、Webページを表示しただけでリモートでコードが実行される危険性がある。

複数のメモリ破損の脆弱性に加え、情報漏えいの脆弱性もあり、これはブラウザに対するユーザーの要求コンテキストや閲覧履歴に関する情報が取得される可能性がある。

対象となるのはMicrosoft Edgeで、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

○リモートでのコード実行に対処するグラフィック フォント用のセキュリティ更新プログラム (3143148)(MS16-026)

MS16-026は、Windowsに搭載されているAdobe Type Managerライブラリに2つの脆弱性が存在。1つは特別に細工されたOpenTypeフォントを正しく処理しないために、Windowsにサービス拒否が起きるというもの。Windows 10のみ、システムではなくアプリケーションの応答が停止する可能性があるという。

もう1つは同様に正しく処理をしないため、リモートでコードが実行される危険性がある。Windows 10のみ、制限された権限と機能の中で、AppContainerサンドボックスでコードが実行される。

特別に細工したフォントを埋め込んだドキュメントを開いたり、埋め込みフォントが含まれるサイトにアクセスしたりした場合に攻撃が行われる可能性がある。

対象となるのはWindows Vista/7/8.1/10/RT/RT 8.1、Server 2008/2008 R2/2012/2012 R2で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

○リモートでのコード実行に対処する Windows Media 用のセキュリティ更新プログラム (3143146)(MS16-027)

MS16-027は、Windowsがメディアファイルを処理する方法に問題があり、特別に細工されたメディアコンテンツを開いた場合にリモートでコードが実行される危険性がある。

対象となるのはWindows 7/8.1/10/RT 8.1、Server 2008 R2/2012/2012 R2で、最大深刻度は「緊急」、悪用可能性指標は「2」となっている。

○リモートでのコード実行に対処する Microsoft Windows PDF ライブラリ用のセキュリティ更新プログラム (3143081)(MS16-028)

MS16-028は、WindowsがPDFを処理するライブラリに問題があり、PDFファイルを開く際にリモートでコードが実行される危険性があるというもの。2つの脆弱性があり、いずれもコード実行の脆弱性となっている。

対象となるのはWindows 8.1/10/RT 8.1、Server 2012/2012 R2で、最大深刻度は「緊急」、悪用可能性指標は「1」となっている。

○その他の脆弱性

これに加え、緊急度「重要」の脆弱性が8件公開されている。

・リモートでのコード実行に対処する Windows ライブラリの読み込み用のセキュリティ更新プログラム (3140709)(MS16-025)

・リモートでのコード実行に対処する Microsoft Office 用のセキュリティ更新プログラム (3141806)(MS16-029)

・リモートでのコード実行に対処する Windows OLE 用のセキュリティ更新プログラム (3143136)(MS16-030)

・特権の昇格に対処する Microsoft Windows 用のセキュリティ更新プログラム (3140410)(MS16-031)

・特権の昇格に対処するセカンダリ ログオン用のセキュリティ更新プログラム (3143141)(MS16-032)

・特権の昇格に対処する Windows USB 大容量記憶域クラス ドライバー用のセキュリティ更新プログラム (3143142)(MS16-033)

・特権の昇格に対処する Windows カーネル モード ドライバー用のセキュリティ更新プログラム (3143145)(MS16-034)

・セキュリティ機能のバイパスに対処する .NET Framework 用のセキュリティ更新プログラム (3141780)(MS16-035)

(小山安博)