今日は3月の第2火曜日、つまり2013年の第3回目のパッチ火曜日です。マイクロソフトは本日、7件の新しいセキュリティ情報をリリースしました。そのうち4件は「緊急」と評価されていますが、セキュリティ専門家は、Windows PCを重大なリスクにさらす可能性がある、単に「重要」と評価された欠陥について特に懸念しています。
QualysのCTOであるWolfgang Kandek氏はブログ記事で、セキュリティ情報の件数はMicrosoftとしてはほぼ標準的だと述べています。さらに、「技術的な観点から言えば、明らかに平均よりも高い評価を受けている興味深い脆弱性もいくつか確認されています」と付け加えています。
まず、Internet Explorer(MS13-021)の累積的なセキュリティ更新プログラムがリリースされました。この更新プログラムは9つの脆弱性に対処しており、そのうち1つについては、過去1か月間、エクスプロイトコードが実際に出回っていました。Kandekは、IT管理者の皆様にこの更新プログラムをできるだけ早く適用するよう強く推奨しています。
「サポートされているすべてのバージョンの Internet Explorer (6 から 10) が影響を受けるため、暗黙的にサポートされているすべての Windows プラットフォーム (Windows RT を含む) が攻撃者の標的になります」と BeyondTrust CTO の Marc Maiffret 氏は指摘しています。
Lumensionのセキュリティおよびフォレンジックアナリスト、ポール・ヘンリー氏によると、2番目に優先度が高いのは、Silverlight 5のリモートコード実行の脆弱性に対処する「緊急」セキュリティ情報MS13-022です。脆弱なバージョンのSilverlightを使用して、悪意のあるコンテンツを含むWebサイトを閲覧するだけで、この攻撃の被害者になる可能性があります。
しかし、7つのセキュリティ情報の中で最も興味深いのはMS13-027でしょう。Microsoftがこれを「重要」と評価しているのは、攻撃に脆弱なマシンへの物理的なアクセスが必要であるためです。nCircle(現在Tripwireに買収手続き中)のセキュリティオペレーションディレクター、アンドリュー・ストームズ氏は、この脆弱性により、攻撃コードがロードされたUSBメモリを持つ人なら誰でもセキュリティ制御を回避し、AutoRunが無効で画面がロックされている場合でも脆弱なシステムにアクセスできるようになると説明しています。
ストームズ氏は、「この脆弱性を悪用すれば、適切な動機を持つ清掃員がたった一晩で何ができるか想像してみてください。この脆弱性は、施錠可能なキャビネットを備えていない公共キオスクやコロケーションセンターのセキュリティにも深刻な影響を与えます。この脆弱性がもたらす被害の可能性は、いくら強調してもし過ぎることはありません。」と警告しています。
セキュリティ専門家は、MS13-021、MS13-022、およびMS13-027が非常に深刻な脅威であり、早急に対処する必要があると認めています。他のパッチ火曜日と同様に、すべてのセキュリティ情報を確認し、システムへの潜在的な影響を判断し、それに応じてパッチの優先順位を決定する必要があります。
ついでに、AdobeはFlash Playerの新バージョンをリリースしました。このバージョンでは4つの重大な脆弱性が修正されています。ぜひご確認いただき、Flash Playerもできるだけ早くアップデートしてください。
