一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は11日、日本マイクロソフトが同日公開した3月のセキュリティ更新プログラム14件に関し、速やかな適用を呼びかけた。深刻度「緊急」の更新プログラムは5件。SSL/TLS実装の脆弱性「FREAK」問題も修正されている。

JPCERT/CCによる注意喚起

3月のセキュリティ更新プログラムでは、「3032359」「3040297」「3041836」「3032323」「3038999」「3034344」「3035132」「3038680」「3040856」「3002657」「3030377」「3035126」「3039976」「3046049」の14プログラムを公開。このうち、深刻度がもっとも高い「緊急」は「3032359」「3040297」「3041836」「3032323」「3038999」の5件。

「3032359」はInternet Explorer用の累積的な脆弱性を、「3040297」はWindowsのVBScriptスクリプトエンジンに存在する脆弱性を修正。悪用された場合、ユーザーが特別に細工されたWebページを閲覧すると、リモートでコードが実行される可能性があり、攻撃者が利用者と同じ権限を取得する恐れがある。さらに「3040297」で修正された脆弱性には、利用者が管理者ユーザー権限でログオンしているときに、コンピューターが完全に制御される可能性がある。

「3041836」と「3032323」はWindowsの脆弱性を修正。この脆弱性により、特別に細工されたWebサイトを閲覧したり、特別に細工されたファイルを開くなどすると、リモートでコードが実行される恐れがある。「3032323」では攻撃対象のシステムが完全に制御され、プログラムのインストール、データの表示、変更、削除などが行われたり、完全なユーザー権限を持つ新たなアカウントを作成される可能性もある。

「3038999」はMicrosoft Officeの脆弱性を修正。この脆弱性により、ユーザーが特別に細工されたMicrosoft Officeファイルを開いた場合、リモートでコードが実行される可能性があり、利用者のコンテキストで任意のコードを実行される恐れがある。