マイクロソフトは11日、3月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。公開されたパッチは、深刻度が4段階評価で最も高い「緊急」5件と、次に高い「重要」9件の計14件。Windows、Windows Server、Internet Explorer、Office、SharePoint Server、Exchange Serverが影響を受ける。
【更新プログラムの内容】
<緊急>
・[MS15-018]Internet Explorer用累積パッチ:リモートコード実行の脆弱性
・[MS15-019]VBScriptスクリプトエンジン:リモートコード実行の脆弱性
・[MS15-020]Windows:リモートコード実行の脆弱性
・[MS15-021]Adobeフォントドライバー:リモートコード実行の脆弱性
・[MS15-022]Office:リモートコード実行の脆弱性
<重要>
・[MS15-023]カーネルモードドライバー:特権昇格の脆弱性
・[MS15-024]PNG処理:情報漏えいの脆弱性
・[MS15-025]カーネル:特権昇格の脆弱性
・[MS15-026]Exchange Server:特権昇格の脆弱性
・[MS15-027]NETLOGON:なりすましの脆弱性
・[MS15-028]タスクスケジューラ:セキュリティ機能バイパスの脆弱性
・[MS15-029]Photo Decoderコンポーネント:情報漏えいの脆弱性
・[MS15-030]リモートデスクトッププロトコル:サービス拒否の脆弱性
・[MS15-031]Schannel:セキュリティ機能バイパスの脆弱性
重要に分類されているSchannel用のパッチ(MS15-031)は、先日明らかとなった、SSL/TLS実装の脆弱性「FREAK」に対処するもの。FREAKは、SSL/TLSで保護されたデータの解読につながるおそれのある脆弱性で、マイクロソフトでは「セキュリティアドバイザリ3046015」を公開して回避策を示していた。
マイクロソフトの日本のセキュリティチームのブログによると、この回避策を適用したシステムにMS15-031のパッチを適用すると、大多数のインターネットサービスが利用できなくなる場合がある。同ブログでは、回避策を実行していた場合、MS15-031を適用する前に回避策を解除するよう求めている。解除方法は、「セキュリティ情報 MS15-031」で確認できる。
このほか、新たに「Alinaos」「CompromisedCert」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンと、Windows 8/8.1/RT/RT 8.1およびServer 2012/Server 2012 R2上のInternet Explorer 10/11に搭載されている「Adobe Flash Player」の更新プログラムが公開されている。Flash Playerの更新について、アドビからはまだ情報が示されていないが、準備が整い次第、「Adobeセキュリティ情報 APSB15-05」が公開される予定だ。
(2015/03/11 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
http://www.microsoft.com/ja-jp/security/default.aspx
・2015年3月のセキュリティ情報
https://technet.microsoft.com/ja-jp/library/security/ms15-mar
・2015年3月のセキュリティ情報(月例)-MS15-018~MS15-031(日本のセキュリティチームのブログ)
http://blogs.technet.com/b/jpsecurity/archive/2015/03/11/201503-security-bulletin.aspx
・セキュリティアドバイザリ(3046015)Schannelの脆弱性により、セキュリティ機能のバイパスが起こる
https://technet.microsoft.com/ja-jp/library/security/3046015
・セキュリティ情報 MS15-031 Schannelの脆弱性により、セキュリティ機能のバイパスが起こる
https://technet.microsoft.com/library/security/MS15-031
・セキュリティアドバイザリ(2755801)Internet Explorer上のAdobe Flash Playerの脆弱性に対応する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2755801