このスレッドはアーカイブ化された過去ログです。
このスレッドはアーカイブ化された過去ログです。
人気のスレッド
既婚女性
1000
7195.2
10007195.2既婚女性1114139.1
1114139.1
ニュース速報+3231907.8
3231907.8
ニュース速報+181735.7
181735.7
ニュース速報+291709.1
291709.1乃木坂467671526.8
7671526.8
ニュース速報+2801372.4
2801372.4乃木坂46691113.3
691113.3
ニュース速報+551110.3
551110.3
ニュース速報+2001034.4
2001034.4もっと見る
米国Microsoftは3月12日(現地時間)、合計20件の脆弱性を修正する月例セキュリティ更新プログラム7件を
公開した。これらのプログラムの1件(セキュリティ情報ID:MS13-027)は、USBメモリと攻撃コードを使ってコン
ピュータのセキュリティを破ることを許してしまうWindows USB記述子の脆弱性3件を修正する。
今回の月例セキュリティ更新プログラムの件数と、それらによって修正される脆弱性の件数は、2月のそれぞ
れ12件、57件よりもかなり少ない。今回のセキュリティ更新プログラム7件の最大深刻度は、4件が「緊急」、3件
が「重要」とされている。Microsoftの深刻度評価システムでは、脆弱性の深刻度が4段階で評価されており、こ
れらの中で「緊急」は深刻度が最も高く、「重要」は2番目に高い。
これら7件のプログラムで修正される20件の脆弱性のうち9件は、Internet Explorer(IE)に含まれる。残りの11
件は、Silverlight、Visio Viewer、SharePoint ServerおよびSharePoint Foundation、OneNote、Outlook for Mac、
Windowsの脆弱性だ。
米国nCircleのセキュリティ・オペレーション・ディレクター、アンドルー・ストームズ(Andrew Storms)氏は声明
で、「MS13-027は企業のIT管理者がチェックすべき修正プログラムだ」とアドバイスした。
「MS13-027」(カーネルモードドライバーの脆弱性により、特権の昇格が起こる)で修正される脆弱性は、攻撃
者がシステムにアクセスした場合、特権の昇格を引き起こす可能性がある。コンピュータの自動再生が無効に
なっていても、攻撃者がUSBメモリを使って管理権限を取得するおそれがある。
「この攻撃の手口は何年も前から映画に登場しているが、この脆弱性のせいで、世界中の企業が実際にその
脅威にさらされている」とストームズ氏は述べている。「この脆弱性の危険性は、いくら強調してもしすぎることは
ない」
また、「MS13-027」で修正される3件の脆弱性の深刻度は、いずれも「緊急」ではなく「重要」とされているが、
これらの悪用によって重大な問題が起こる可能性もある。企業の建物に入れる人が就業時間外にこの脆弱性
を悪用し、業務用PCからデータを盗み出すおそれがあるからだ。不特定多数が利用するパブリック・キオスク
などのコンピュータも危険だと、ストームズ氏は指摘した。
ID管理ソフトウェア・ベンダーの米国BeyondTrustのCTO(最高技術責任者)、マーク・マイフレット(Marc Maiffret)
氏は、次のように説明している。「これらの脆弱性は、攻撃者がカーネル・コードを実行する目的で悪用するおそ
れがあるが、そのためには物理的にコンピュータの設置場所に赴き、USBデバイスを脆弱なマシンに挿入できな
ければならない」
マイフレット氏はIT管理者に、「MS13-021」(Internet Explorer用の累積的なセキュリティ更新プログラム)で修正
されるIEの9件の脆弱性も要注意だとアドバイスする。最大深刻度が「緊急」であるこれらの脆弱性は、サポートさ
れているIEのすべてのバージョン(6~10)に影響する。「これは、Windows RTを含め、サポートされているすべて
のWindowsプラットフォームが、攻撃の標的になりうるということだ」(同氏)