マイクロソフトは14日、2月度の月例セキュリティパッチ(セキュリティ更新プログラム)を公開した。深刻な脆弱性が多数修正されており、同社はできるだけ早期にパッチを適用するよう呼びかけている。
公開されたパッチは、深刻度が4段階評価で最も高い「緊急」9件と、次に高い「重要」1件の計10件。Windows、Windows Server、Internet Explorer、Edge、Office関連ソフトウェア、SharePoint Enterprise ServerとProject Server、ChakraCoreが影響を受ける。
【更新プログラムの内容】
<緊急>
・Windows 10/Windows Server 2016(Edge含む):リモートコード実行の脆弱性
・Windows 8.1/Windows Server 2012 R2:リモートコード実行の脆弱性
・Windows Server 2012:リモートコード実行の脆弱性
・Windows RT 8.1:リモートコード実行の脆弱性
・Windows 7/Windows Server 2008 R2:リモートコード実行の脆弱性
・Windows Server 2008:リモートコード実行の脆弱性
・Internet Explorer:リモートコード実行の脆弱性
・Office/Office Services/Office Web Apps:リモートコード実行の脆弱性
・ChakraCore:リモートコード実行の脆弱性
<重要>
・SharePoint Enterprise Server 2016とProject Server 2013:特権昇格の脆弱性
今回は、CVEベースで50件の脆弱性が修正されている。このうち、Edgeに影響するセキュリティ機能バイパスの脆弱性(CVE-2018-0771、深刻度:警告)についてはパッチ提供前に情報が一般公開されていたが、悪用する攻撃は確認されていない。
なお、先月に引き続き今回も、必要なレジストリキーの設定が行われていないパソコンはパッチを受け取ることができない。このレジストリキーの設定は、マイクロソフトが「互換性がある(=問題が生じない)」と確認済みのウイルス対策ソフトを利用し、最新の状態にしていれば、同ソフトが自動的に行ってくれる。
ウイルス対策ソフトを利用していない場合は手動でレジストリキーの設定を行うことも可能だが、深刻な問題が生じることがあるため、操作に不慣れな方にはおすすめできない。マイクロソフトまたは他社が提供しているウイルス対策ソフトの利用を推奨したい。
Windows 8.1およびWindows 10にはマイクロソフトが提供するウイルス対策ソフト「Windows Defender」が搭載されており、無料で利用できる。注意が必要なのがWindows 7に搭載されている「Windows Defender」で、名前は同じでもこちらはスパイウェア対策の機能しかもっていないため、レジストリキーの設定が行われない。マイクロソフトではWindows 7向けに無料で利用できるウイルス対策ソフト「Security Essentials」を提供しており、同社のサイトからダウンロードできる。
使用しているパソコンがパッチを受け取ることができない場合は、マイクロソフトが先月公開した情報「重要: 2018年1月4日にリリースされたWindowsセキュリティ更新プログラムとウイルス対策ソフトウェア」を参照することをおすすめする。「Security Essentials」を紹介するページへのリンクも掲載されている。
(2018/02/14 ネットセキュリティニュース)
【関連URL:マイクロソフト】
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・2018年2月のセキュリティ更新プログラム(月例)
https://blogs.technet.microsoft.com/jpsecurity/2018/02/14/201802-security-updates/
・重要:2018年1月4日にリリースされたWindowsセキュリティ更新プログラムとウイルス対策ソフトウェア
https://support.microsoft.com/ja-jp/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software