日本マイクロソフトは12日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の2月分を公開した。7件の脆弱性情報が公開されており、最大深刻度がもっとも大きい「緊急」が4件、2番目の「重要」が3件。すでに悪用が確認されている脆弱性もあり、対象となるユーザーは早急なアップデートが推奨されている。
Internet Explorer 用の累積セキュリティ更新プログラム (2909921)(MS14-010)
MS14-010は、Internet Explorerに存在する24件の脆弱性に関するパッチで、「VBScriptのメモリ破損の脆弱性」「Internet Explorerのクロスドメインの情報漏えいの脆弱性」「Internet Explorerの複数メモリ破損の脆弱性」に大別される。そのうち、IEのメモリ破損の脆弱性の1件がすでにインターネット上に情報が公開されているが、現時点で悪用の情報はないという。
対象となるのはInternet Explorer 6/7/8/9/10/11で、Windows 8.1/8.1 RT上のIEも影響を受ける。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
VBScript スクリプト エンジンの脆弱性により、リモートでコードが実行される (2928390)(MS14-011)
MS14-011は、Windowsに含まれるVBScriptエンジンがメモリ内のオブジェクトを適切に処理せず、リモートでコードが実行される脆弱性で、Internet ExplorerでWebサイトを閲覧しただけでも攻撃が行われる危険性がある。ただし、脆弱性情報は公開されておらず、悪用された情報もないという。
対象となるのはVBScript 5.6/5.7/5.8で、最大深刻度は最大で「緊急」、悪用可能性指標は「1」となっている。
Direct2D の脆弱性により、リモートでコードが実行される (2912390)(MS14-007)
MS14-007は、Direct2Dが特別に細工された2Dグラフィックスの幾何学図形を適切に処理できないため、リモートでコードが実行される脆弱性。WindowsのGraphicsコンポーネントとしてIEからDirect2Dを呼び出すことができるため、Webサイトを閲覧しただけで攻撃が行われる危険性がある。
対象となるのはWindows 7/8/8.1/RT/RT 8.1、Server 2008 R2/2012/2012 R2。最大深刻度は「緊急」、悪用可能性指標は「1」となっている。
Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される (2927022)(MS14-008)
MS14-008は、Forefront Protection for Exchangeが電子メールコンテンツを適切に解析できず、特別に細工されたメールをスキャンした際に、メールサーバー上で任意のコードが実行されるという脆弱性。
対象となるのはForefront Protection 2010 for Exchange Serverで、最大深刻度は「緊急」、悪用可能性指標は最大で「1」となっている。
.NET Framework の脆弱性により、特権が昇格される (2916607)(MS14-009)
MS14-009は、Microsoft .NET Frameworkに含まれる3件の脆弱性に関する情報で、すでに2件の情報がインターネット上に公開されており、1件の脆弱性は悪用も確認されているという。
.NET Frameworkには、一部のHTTPクライアント接続を適切に識別せず、ASP.NETサーバーがクライアントの要求に応答しなくなるサービス拒否の脆弱性、.NET Frameworkのメソッドが安全に実行されるかを適切に検証せず、特権が昇格する脆弱性、アドレス空間配置のランダム化(Address Space Layout Randomization:ASLR)のセキュリティ機能を適切に実装していない.NET Frameworkコンポーネントによるセキュリティ機能のバイパスの脆弱性、という3種類の問題が存在している。このうちサービス拒否の脆弱性がすでにインターネット上に公開され、セキュリティ機能のバイパスの脆弱性は悪用も確認されている。セキュリティ機能のバイパスにより、別の脆弱性を使ってコードを実行する、といった手法で攻撃が行われたことが確認されている、という。
対象となるのは.NET Framework 1.0/2.0/3.5/3.5.1/4.0/4.5/4.5.1で、最大深刻度は「重要」、悪用可能性指標は「1」となっている。
深刻度「重要」の脆弱性
そのほか、最大深刻度「重要」の脆弱性として、以下の2件が公開されている。
・Microsoft XML コア サービスの脆弱性により、情報漏えいが起こる (2916036)(MS14-005)
・IPv6 の脆弱性により、サービス拒否が起こる (2904659)(MS14-006)
このうち、MS14-005は、すでに脆弱性情報が一般に公開されていたが、悪用の情報はない、という。