MicrosoftのFREAK問題を解決した

米Microsoftは3月10日（日本時間11日）、14件のセキュリティ情報を公開してWindowsやInternet Explorer（IE）などの深刻な脆弱性に対処した。内訳は最大深刻度が最も高い「緊急」が5件、上から2番目の「重要」が9件。「FREAK」と呼ばれるSSL/TLS実装の脆弱性も解決している。

FREAKの脆弱性は、Schannelの更新プログラム（MS15-031）で修正された。攻撃者が脆弱性を悪用した場合、中間者攻撃を仕掛けて強度の弱いRSA鍵を強制的に使用させ、トラフィックを傍受して解読できてしまう可能性がある。Microsoftの深刻度評価は「重要」となっている。

一方、緊急レベルのセキュリティ情報5件のうち、IEの累積的なセキュリティ更新プログラム（MS15-018）では、メモリ内のオブジェクト処理方法に起因する脆弱性や、VBScriptスクリプトエンジンの脆弱性などが修正された。

IEの脆弱性はIE 11までの全バージョンに存在し、リモートでコードを実行される恐れのある深刻な脆弱性が多数を占めるほか、クロスドメインポリシーの適用に関する権限昇格の脆弱性は既に悪用が確認されているという。

また、Windowsのリモートからコードを実行されてしまう脆弱性に対処する更新プログラム（MS15-020）ではWindows Text Services（WTS）によるメモリ内オブジェクトの不適切な処理に起因する脆弱性と、DLLファイル読み込みの不適切な処理に起因する脆弱性の2件が修正された。

Kaspersky Labのニュースサービス「threatpost」によれば、このDLLの脆弱性は悪名高いマルウェア「Stuxnet」に利用され、2009年にイランの核施設を狙った攻撃に使われていたという。Microsoftは2010年8月の更新プログラムでこの脆弱性に対処したものの、幾つかの問題がまだ残っていたことが分かり、今回の更新プログラムで修正したとthreatpostは伝えている。

この他、VBScriptスクリプトエンジンの脆弱性（MS15-019）、Adobeフォントドライバの脆弱性（MS15-021）、Officeの脆弱性（MS15-022）に対処する更新プログラムが、それぞれ緊急レベルに分類されている。

一方、重要レベルの更新プログラムでは、WindowsやExchangeに存在するサービス妨害や情報流出、セキュリティ機能迂回、権限昇格、なりすましなどの問題に対応している。

Copyright © ITmedia, Inc. All Rights Reserved.