Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

MS、月例パッチ4件を公開 - Wordのゼロデイ脆弱性を修正

日本マイクロソフトは、深刻度「緊急」2件を含む月例セキュリティ更新プログラム4件を公開した。あわせて11件の脆弱性に対処している。

20140409_ms_001.jpg
4月に公開した月例セキュリティ更新プログラム

4段階中もっとも深刻とされる「緊急」のプログラムは2件で、いずれも適用優先度についてももっとも高い「1」にレーティングされている。

「MS14-017」は、「Word 2010」を対象としたゼロデイ攻撃が確認されている脆弱性「CVE-2014-1761」をはじめ、あわせて3件の脆弱性を修正するOffice向けのセキュリティ更新プログラム。

脆弱性「CVE-2014-1761」は、細工したリッチテキストファイル(RFTファイル)を開くとメモリが破壊され、リモートよりコード実行が可能となる。Outlook 2007以降ではWordをメール表示に利用しており、プレビュー表示を行っただけで攻撃を受けるおそれがある。

同社では、回避策として「Fix it」を公開しているが、同対策を有効にした状態で「MS14-017」を適用することが可能。ただし、RFTファイルを読み込めるようにするには、回避策を手動で無効化する必要があるので注意する必要がある。

もう1件の「緊急」とされるプログラム「MS14-018」は、「Internet Explorer」の脆弱性を修正するプログラム。累積的な脆弱性に対応したもので、あわせて6件の脆弱性を解消しており、「IE 10」以外のすべてのバージョンが影響を受ける。

のこる2件のプログラムは、いずれも深刻度が1段階低い「重要」。「MS14-020」では、「Microsoft Publisher」における脆弱性1件を修正した。

また「MS14-019」では、Windowsのファイル操作コンポーネントにおける1件の脆弱性に対処した。脆弱性はすでに公開されているものの、悪用は確認されていないという。

(Security NEXT - 2014/04/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Trend Micro」の複数製品に脆弱性 - アップデートで修正
Progress Softwareの「OpenEdge」に認証バイパスの脆弱性
Cisco、セキュリティアドバイザリ5件を公開 - DoS脆弱性などに対応
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
ブラウザ「Chrome」にアップデート - セキュリティに関する4件の修正
「baserCMS」に脆弱性 - アップデートで修正を実施
「VMware Workstation」「Fusion」にセキュリティアップデート
Fortinet、「FortiOS」のアップデートを追加
脆弱性判明した「ConnectWise ScreenConnect」、約1万8000件が稼働
「Microsoft Edge」にアップデート - MS独自含む脆弱性11件を解消