Microsoftは米国時間3月23日、Windowsに遠隔での任意のコード実行が可能になる2件の未修正の脆弱性が存在することを明らかにした。既に修正プログラムの開発に着手しているが、脆弱性を悪用する限定的なサイバー攻撃が発生したとして、緩和策の実施を呼び掛けている。
2件の脆弱性はAdobe Type Manager Libraryに存在し、Adobe Type 1 PostScript形式を不適切に処理してしまうことに起因する。脆弱性の悪用には、ユーザーに細工したドキュメントを開かせたり、Windowsのプレビューウィンドウで表示したりするなど複数の方法があるという。
脆弱性の影響は、1月にサポートが終了しているWindows 7やWindows Server 2008/R2を含めた広範なWindows製品に及ぶ。なお、サポートが提供されているWindows 10については、万一攻撃が成功しても、AppContainerサンドボックス内での限定された権限によるコード実行にとどまる場合があるとする。
開発中の修正プログラムは4月の月例セキュリティ更新プログラムでリリースされると見られるが、Microsoftではパッチ提供までの下記の緩和策を紹介している。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
1人の医師が始めた医療ベンチャー
開発経験ゼロからのローコード開発で
医療ニーズに応えた病院向けシステムを構築
伊豆半島の松崎町に移り住んだ元広告代理店営業が語る、地方移住への心構えと考え方 
アップルとサムスンの主力スマホに見るカメラの重要性--今や最大の差別化要素に 
仕事にどう活用できるのか--ビジネスパーソンのためのChatGPT入門