MSが7月の月例パッチ公開、IEの脆弱性修正など計6件

日本マイクロソフト株式会社は9日、7月の月例セキュリティ更新プログラム(修正パッチ)に関するセキュリティ情報6件を公開した。脆弱性の最大深刻度は、4段階で最も高い"緊急"が2件、2番目に高い"重要"が3件、3番目に高い"警告"が1件。

 最大深刻度"緊急"のセキュリティ情報は、「MS14-037」「MS14-038」の2件。

 「MS14-037」は、Internet Explorer(IE)に関する24件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたウェブページをIEで表示した際に、リモートでコードを実行される可能性がある。影響を受けるソフトは、IE 11/10/9/8/7/6。

 修正する24件のうち、EV SSL証明書セキュリティ機能のバイパスの脆弱性(CVE-2014-2783)については、セキュリティ情報の公開以前に情報が一般に公開されていた。攻撃者がこの脆弱性を悪用した場合、ワイルドカード証明書を使用することで、EV SSL証明書ガイドラインをバイパスする可能性がある。ただし、現時点ではこの脆弱性の悪用は確認されていないという。

 「MS14-038」は、Windows Vista以降のOSに標準搭載されている手書きノートソフト「Windows Journal」に関する1件の脆弱性を修正する。脆弱性が悪用された場合、特別に細工されたジャーナルファイル(.jnt)を開いた際に、リモートでコードを実行される可能性がある。影響を受けるOSは、Windows 8.1/8/7/Vista、Windows Server 2012 R2/2012/2008 R2/2008。

 マイクロソフトでは、企業ユーザーでパッチの適用に優先付けが必要な場合には、「MS14-037」「MS14-038」の2件を優先的に適用することを推奨している。

 このほか、最大深刻度"重要"のセキュリティ情報として、スクリーンキーボードに関する「MS14-039」、Ancillary Functionドライバー(AFD)に関する「MS14-040」、DirectShowに関する「MS14-041」の3件が、最大深刻度"警告"のセキュリティ情報として、Microsoft Service Busに関する「MS14-042」の1件が公開された。

【ニュースソース】InternetWatch
http://internet.watch.impress.co.jp/docs/news/20140709_657084.html