マイクロソフトは14日、5月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」2件と、次に高い「重要」6件の計8件。Windows、Windows Server、Internet Explorer、Office、.NET Framework、SharePointServerが影響を受ける。
【更新プログラムの内容】
<緊急>
・[MS14-022]SharePoint Server:リモートコード実行の脆弱性
・[MS14-029]Internet Explorer:リモートコード実行の脆弱性
<重要>
・[MS14-023]Office:リモートコード実行の脆弱性
・[MS14-024]コモンコントロール:セキュリティ機能バイパスの脆弱性
・[MS14-025]グループポリシー基本設定:特権昇格の脆弱性
・[MS14-026].NET Framework:特権昇格の脆弱性
・[MS14-027]シェルハンドラー:特権昇格の脆弱性
・[MS14-028]iSCSI:サービス拒否の脆弱性
このほか、Windows 8 / 8.1 / RT / RT 8.1およびServer 2012 / 2012 R2上のInternet Explorer 10 / 11に搭載されている「Adobe Flash Player」の更新プログラムと、新たに「Filcout」「Miuref」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開された。
■MS14-029について
このInternet Explorer用パッチには、今月2日に公開された定例外パッチ[MS14-021]も含まれている。ただし、過去のIE用パッチすべてを含む累積パッチではない。最新の累積パッチがインストールされていない状態で本パッチをインストールすると、IEが断続的に応答を停止するなど、互換性の問題が発生する可能性が高くなる。Windows Updateを自動更新の状態にしていれば問題はないが、手動でインストールしている場合は注意が必要だ。詳細については、下記関連URLに示している資料「MS14-029」の[更新プログラムに関する FAQ]を参照いただきたい。
■MS14-025について
このパッチで修正されるグループポリシー基本設定の脆弱性は、すでに標的型攻撃で悪用されている。脆弱性の影響を受けるのは、Windowsにリモートサーバー管理ツールをインストールしている場合と、Windowsサーバーでグループポリシー管理を構成している場合のみ。
このパッチはグループポリシーの設定の機能の一部を削除するため、事前の検証や追加の作業の必要性について確認する必要があることから、自動更新を含め、Windows Update / Microsoft Update からは配信されない。影響を受ける場合は、Microsoftダウンロードセンター、または、Microsoft Updateカタログからパッチを入手しインストールする必要がある。詳細は下記「関連URL」の「MS14-025」で確認していただきたい。
■Windows 8.1 Updateについて
Windows 8.1用のアップデート「Windows 8.1 Update」(KB 2919355)が4月に公開されている。Windows Updateを自動更新の状態で利用していればすでに適用されているはずだが、何かの事情でこれを適用していない場合、6月11日(6月度パッチの公開日)以降のパッチを受け取ることができなくなる。
現在Windows 8.1を利用していて、KB 2919355が適用されているかどうかを確認するには、スタート画面を見るとよい。上部、アカウント名の近くに検索ボタン(虫めがねのアイコン)が表示されていれば適用されている。詳細については「関連URL」の「最新の Windows 8.1 Update をインストールする」を参照いただきたい。
(2014/05/14 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2014年5月のマイクロソフトセキュリティ情報の概要
https://technet.microsoft.com/library/security/ms14-may
・Microsoft Update
http://windowsupdate.microsoft.com/
・2014年5月のセキュリティ情報(月例)-MS14-022~MS14-029
http://blogs.technet.com/b/jpsecurity/archive/2014/05/14/201405-security-bulletin.aspx
・セキュリティアドバイザリ(2755801)Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801
・[MS14-029]Internet Explorer用のセキュリティ更新プログラム
https://technet.microsoft.com/library/security/ms14-029
・[MS14-025]グループ ポリシー基本設定の脆弱性により、特権が昇格される
https://technet.microsoft.com/library/security/ms14-025
・最新のWindows 8.1 Update をインストールする
http://windows.microsoft.com/ja-jp/windows-8/install-latest-update-windows-8-1
・Windows 8.1 Update Requirement Extended[英文]
http://blogs.windows.com/windows/b/windowsexperience/archive/2014/05/12/windows-8-1-update-requirement-extended.aspx
【関連記事:ネットセキュリティニュース】
・マイクロソフト、IEのゼロデイ攻撃に対処した緊急パッチ公開(2014/05/02)