日本マイクロソフトは17日、2013年のセキュリティ情報を総括した。2013年は、全106件のセキュリティ情報(MS13-001~MS13-106)が公開され、336件の一意の脆弱性(CVE)に対処した。また、1月に1件の更新プログラム(MS13-008)を緊急リリースした。
2013年の月別セキュリティ情報の公開数は、1月が8件、2月が12件、3月が7件、4月が9件、5月が10件、6月が5件、7月が7件、8月が8件、9月が13件、10月が8件、11月が8件、12月が11件。このうち、公開時点で脆弱性の悪用が確認されていたセキュリティ情報は11件で、2012年の7件に比べ増加している。
脆弱性の影響を受けるソフトウェアの傾向は、2012年と比べ、Windows、Internet Explorer(IE)、Officeに対するセキュリティ情報が増え、サーバ製品や開発ツールなどは減少した。全体の中では、Windows OS関連が約半数を占める。
製品別の脆弱性の割合は、IEおよびカーネルモード ドライバ(KMD)の脆弱性が過半数を占めた。IEの「リモートでコードが実行される脆弱性」を悪用し、侵入後にカーネルモード ドライバの「特権昇格の脆弱性」を悪用する、というような攻撃が原因と同社は推測する。また、脆弱性の種類は、メモリ破損の脆弱性が4割となり、対処法として、システムアクセス権の不正取得を防ぐEnhanced Mitigation Experience Toolkit(EMET)の導入を推奨している。
Microsoft製品の月例更新プログラムは、毎月第2火曜日(米国日付)に公開される。同社は、未知の脆弱性の悪用は脆弱性全体の0.12%に過ぎないため、セキュリティ更新プログラムの速やかな適用が重要としている。