日本マイクロソフトは10日、毎月定例で提供している月例のセキュリティ更新プログラム(月例パッチ)の5月分を公開した。すでに一般に情報が公開されている脆弱性に加え、悪用が確認されている脆弱性もあるため、至急のアップデートが推奨されている。

Internet Explorerの脆弱性

Internet Explorerの脆弱性として、以下の3つの脆弱性情報が公開され、パッチが提供されている。

CVE-2017-0222 | Internet Explorer のメモリ破損の脆弱性
CVE-2017-0226 | Internet Explorer のメモリ破損の脆弱性
CVE-2017-0228 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0231 | Microsoft ブラウザーのなりすましの脆弱性
CVE-2017-0238 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0064 | Internet Explorer のセキュリティ機能のバイパスの脆弱性

メモリ内のオブジェクトに不適切にアクセスする際にメモリが破損してリモートでコードが実行される脆弱性、メモリ内のオブジェクトを処理するときにJavaScriptエンジンがレンダリングする方法にリモートでコードが実行される脆弱性、SmartScreen Filterを表示するときになりすましの脆弱性など確認されている。このうち、CVE-2017-0222は悪用の事実が確認されているという。

Microsoft Edgeの脆弱性

新ブラウザのMicrosoft Edgeには以下の5つの脆弱性情報が公開され、パッチが提供されている。

CVE-2017-0221 | Microsoft Edge のメモリ破損の脆弱性
CVE-2017-0224 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0227 | Microsoft Edge のメモリ破損の脆弱性
CVE-2017-0228 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0229 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0235 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0236 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0240 | Microsoft Edge のメモリ破損の脆弱性
CVE-2017-0266 | Microsoft Edge のリモートでコードが実行される脆弱性
CVE-2017-0230 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0231 | Microsoft ブラウザーのなりすましの脆弱性
CVE-2017-0233 | Microsoft Edge の特権の昇格の脆弱性
CVE-2017-0234 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0238 | スクリプト エンジンのメモリ破損の脆弱性
CVE-2017-0241 | Microsoft Edge の特権の昇格の脆弱性

Edgeがメモリ内のオブジェクトに不適切にアクセスする場合に任意のコードを実行しメモリ破損する脆弱性、JavaScriptエンジンにリモートでコードが実行される恐れがある脆弱性、攻撃者がブラウザ上でAppContainerサンドボックスから逃れることができる特権の昇格の脆弱性、URLにドメインがないページを表示するときにイントラネット ゾーンのコンテキストで処理が実行され、通常使用できない機能にアクセスできる可能性がある脆弱性などがそれぞれ存在する。

複数の一般に公開された脆弱性があるが、悪用された形跡はないという。

Windowsの脆弱性

Windowsに含まれる各種機能について、以下の脆弱性情報が提供され、パッチが公開されている。

CVE-2017-0272 | Windows SMB のリモートでコードが実行される脆弱性
CVE-2017-0277 | Windows SMB のリモートでコードが実行される脆弱性
CVE-2017-0278 | Windows SMB のリモートでコードが実行される脆弱性
CVE-2017-0279 | Windows SMB のリモートでコードが実行される脆弱性
CVE-2017-0290 | Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性
CVE-2017-0258 | Windows カーネルの情報漏えいの脆弱性
CVE-2017-0259 | Windows カーネルの情報漏えいの脆弱性
CVE-2017-0263 | Win32k の特権の昇格の脆弱性
CVE-2017-0267 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0268 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0269 | Windows SMB のサービス拒否の脆弱性
CVE-2017-0270 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0271 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0273 | Windows SMB のサービス拒否の脆弱性
CVE-2017-0274 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0275 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0276 | Windows SMB の情報漏えいの脆弱性
CVE-2017-0280 | Windows SMB のサービス拒否の脆弱性
CVE-2017-0077 | Dxgkrnl.sys 昇格の特権の脆弱性
CVE-2017-0171 | Windows DNS サーバーのサービス拒否の脆弱性
CVE-2017-0175 | Windows カーネルの情報漏えいの脆弱性
CVE-2017-0190 | Windows GDI の情報漏えいの脆弱性
CVE-2017-0212 | Windows Hyper-V vSMB の特権の昇格の脆弱性
CVE-2017-0213 | Windows COM の特権の昇格の脆弱性
CVE-2017-0214 | Windows COM の特権の昇格の脆弱性
CVE-2017-0220 | Windows カーネルの情報漏えいの脆弱性
CVE-2017-0242 | Microsoft ActiveX の情報漏えいの脆弱性
CVE-2017-0242 | Microsoft ActiveX の情報漏えいの脆弱性
CVE-2017-0244 | Windows カーネルの特権の昇格の脆弱性
CVE-2017-0245 | Win32k の情報漏えいの脆弱性
CVE-2017-0246 | Win32k の特権の昇格の脆弱性

Windows SMBの脆弱性などで最大深刻度「緊急」の脆弱性が多数含まれている。すでに悪用が確認されている脆弱性もあるという。

Microsoft Officeの脆弱性

Officeに含まれる脆弱性として、以下の脆弱性情報が公開されている。

CVE-2017-0254 | Microsoft Office のメモリ破損の脆弱性
CVE-2017-0255 | Microsoft SharePoint XSS の脆弱性
CVE-2017-0261 | Microsoft Office のリモート コードが実行される脆弱性
CVE-2017-0262 | Microsoft Office のリモート コードが実行される脆弱性
CVE-2017-0264 | Microsoft Office のメモリ破損の脆弱性
CVE-2017-0265 | Microsoft Office のメモリ破損の脆弱性
CVE-2017-0281 | Microsoft Office のリモート コードが実行される脆弱性
CVE-2017-0281 | Microsoft Office のリモート コードが実行される脆弱性

すべて最大深刻度「重要」の脆弱性だが、CVE-2017-0261はすでに悪用が確認されているという。

.NET Frameworkの脆弱性

.NET Frameworkに含まれる脆弱性として、以下の脆弱性が公開されている。

CVE-2017-0248 | .NET のセキュリティ機能のバイパスの脆弱性

.NET Frameworkコンポーネントが証明書を完全に検証しない場合にセキュリティ機能がバイパスされる脆弱性が存在する。最大深刻度は「重要」。

Adobe Flash Playerの脆弱性

アドビのFlash Playerに脆弱性が含まれるため、Windows Update経由でのアップデーのと配信も行われている。

ADV170006 | 5 月の Flash のセキュリティ更新プログラム