米国時間2月10日にリリースされたMicrosoftの月例パッチは9件のセキュリティ更新プログラムで構成されており、そのうちの以下3件はリモートからのコード実行に悪用可能な緊急レベルの脆弱性を修正するものだ。
このMS15-011で修正される脆弱性は、ICANNの契約研究者Jeff Schmidt氏によって1年以上も前にMicrosoftに報告されていたもの。同氏によると、この脆弱性は極めて特殊な性質を持っていたので、修正に異例に長い時間を要することになったのだという。Microsoftは脆弱性を修正するために、OSの中核となるコンポーネントを再構築したうえで、幾つかの新機能を追加する必要があった。この件に関する詳細は、Microsoft公式のTechNetブログでも説明されている。
なお、Windows Server 2003を運用している場合は、このMS15-011に特別な注意を払う必要がある。なぜなら、Microsoftは開発に時間がかかりすぎるとして、Windows Server 2003用のパッチを提供しない方針だからである。Windows Server 2003の延長サポートが7月14日で終了する点と、この脆弱性が修正されない点を考慮すると、システム管理者はWindows Server 2003の本番環境からの廃止を検討すべき時期が来たのかもしれない。
重要レベルの「MS15-012」と「MS15-013」は「Microsoft Office」に関するもので、前者は細工を施されたOfficeドキュメントを通じてリモートからコードを実行される脆弱性、後者はセキュリティ機能をバイパスされる脆弱性をそれぞれ修正する。なお、Officeに関しては、「MS14-083」で報告されていた「Excel」の脆弱性も別途修正される。
「MS15-014」、「MS15-015」、「MS15-016」はいずれも重要レベル。「MS15-014」は中間者攻撃によってグループポリシーが低セキュリティの既定値に変更される脆弱性、「MS15-015」は特権昇格により管理者の資格情報を窃取される脆弱性、「MS15-016」は細工を施されたTIFFファイルを通じて情報を窃取される脆弱性をそれぞれ修正する。
重要レベルの「MS15-017」はMicrosoft System Center Virtual Machine Manager 2012 R2の脆弱性を修正する。デスクトップ版Windowsは脆弱性の影響を受けないが、Virtual Machine Managerを使用して複数の仮想サーバを運用している場合は重大な影響を受ける可能性がある。
今回の月例パッチに併せて、2014年10月にリリースされていた「セキュリティアドバイザリ3009008」が改訂された。それによると、今回の更新プログラムにより、Internet Explorer 11の保護モードのウェブサイトで、SSL 3.0へのフォールバックが防止されるようになった。また、2015年4月をもって、Internet Explorer 11とMicrosoftのオンラインサービス全般で、既定でSSL 3.0が無効化されることになった。SSL 3.0に関する変更点についてはMicrosoftの公式ブログ「IEBlog」でも説明されている。
一方、月例パッチとともにリリースされたオプションの更新プログラム「Visual Studio 2010年のツールの実行時のOfficeの更新プログラムのロールアップ」は、更新プロセスの停止を引き起こすという報告が多数寄せられた結果、リリース後2時間弱という最短記録に迫る早さで提供が中止された。
なお、AdobeもInternet Explorer 10および11用「Flash Player」のセキュリティ更新をリリースしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス