TOPセキュリティ > Microsoftの2014年5月の月例パッチ、XPへの攻撃...

セキュリティ

Microsoftの2014年5月の月例パッチ、XPへの攻撃の指針に

2014/05/15

Joab Jackson IDG News Service

 この修正プログラムは、IEの2件の脆弱性に対処するものだ。この脆弱性では、リモートで悪質なコードを実行される恐れがある。この脆弱性を利用した悪質なプログラムがWeb上に出現していることは、米Googleの研究者が既に確認済みだ。

 「これについては、早急にパッチを適用した方がよい。攻撃が既に登場している。まだ広く周知されてはいないかもしれないが、通常この手の攻撃はまたたく間に拡散する」とKandek氏は言う。

 MS14-029には、MS14-021の内容も含まれている。これは、現地時間2014年5月1日にMicrosoftが定例外で緊急公開した、IEの脆弱性を修正するパッチだ。この脆弱性を悪用してユーザーのマシンを乗っ取る攻撃も既に登場していた。

 MS14-029のパッチをインストールするとMS14-021もインストールされるが、その前に、Microsoftが2014年4月に公開したIE用の累積的なセキュリティ更新プログラムをまずインストールしておく必要があるとKandek氏は言う。

 MS14-027のWindowsの脆弱性は、深刻度は「緊急」ではなく「重要」だが、管理者にとっては要注意だとKandek氏は話す。Windowsのシェルインタフェースの不備により、端末のユーザーが特定のコードにより管理者特権を得られるという脆弱性だ。Kandek氏によると、IEの2件の脆弱性と同様に、この脆弱性もマルウエアの攻撃で既に利用されているという。

 攻撃が簡単という点では、MS14-025もWindowsユーザーにとって重要だとKandek氏は言う。この脆弱性では、パスワード情報をWindowsのグループポリシーの基本設定と共に保存し、簡単に取得できてしまう。

 SharePointユーザーは、3つ目の「緊急」の脆弱性であるMS14-022も確認しておく必要がある。悪質なコードを埋め込んだファイルをSharePointサイトに送信することで攻撃を実行できるという脆弱性だ。

 また管理者は、Microsoftのパッチだけでなく、現地時間2014年5月13日に米Adobe Systemsが公開したパッチにも注目する必要があるとKandek氏は話す。「Adobe Reader」「Flash Player」「Illustrator」向けのセキュリティアップデートだ。特に、Adobe ReaderとFlash Playerの脆弱性にはできるだけ早く対処する必要がある。AdobeもMicrosoftと同様、Windows XPで動作するバージョンのソフトウエア向けのパッチ提供を既に終了している。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ