4月のMS月例パッチ公開、IEやOffice、HTTP.sysなど11件、ゼロデイ脆弱性の修正も

　日本マイクロソフト株式会社は15日、4月の月例セキュリティ更新プログラム（修正パッチ）に関するセキュリティ情報11件を公開した。Internet Explorer（IE）、Microsoft Office、Windowsなどの製品を対象に、CVE番号ベースで計26件の脆弱性を修正している。この中には、すでに攻撃に悪用されているOfficeの脆弱性も含まれる。

　最大深刻度が4段階中で最も高い“緊急”のセキュリティ情報は、「MS15-032」「MS15-033」「MS15-034」「MS15-035」の4件。

　MS15-032は、IEの累積的な修正パッチ。CVE番号ベースで10件の脆弱性を修正する。最も深刻な脆弱性が悪用された場合、特別に細工されたウェブページをIEで閲覧した際に、リモートでコードを実行させられる可能性がある。IE 11/10/9/8/7/6が影響を受ける。

　なお、MS15-032で提供されるパッチ（3038314）により、IE 11ではSSL 3.0がデフォルトで無効になる。「POODLE」と呼ばれるSSL 3.0の脆弱性への対処で、IE 11でこうした措置を取ることはすでにマイクロソフトが2月に予告していた。

　MS15-033は、Microsoft Officeの修正パッチ。CVE番号ベースで5件の脆弱性を修正する。これらの脆弱性を悪用された場合、特別に細工されたOfficeファイルをユーザーが開いた際に、リモートでコードが実行される可能性がある。Office 2013/2010/2007、Office 2013 RT、Office for Mac、Word Viewer、Office Compatibility Pack、SharePoint Server 2013/2010、Office Web Apps 2013/2010が影響を受ける。

　なお、5件のうち1件については脆弱性情報が一般に公表されているもので、これを悪用する限定的な攻撃がすでに確認されているという。

　MS15-034は、HTTP.sysの脆弱性を修正するパッチ。Windowsに対して特別に細工されたHTTP要求を攻撃者が送信した場合に、リモートでコードが実行される可能性があるというもの。Windows 8.1/8/7、Windows Server 2012 R2/2012/2008 R2が影響を受ける。

　MS15-035は、Microsoft Graphicsコンポーネントの脆弱性を修正するパッチ。攻撃者がユーザーを誘導して、特別に細工されたウェブサイトを訪問させるか、特別に細工されたファイルを開かせる、あるいは特別に細工された拡張メタファイル（EMF）画像ファイルを含む作業ディレクトリを参照させることで、リモートでコードが実行されられる可能性がある。Windows 7/Vista、Windows Server 2008 R2/2008/2003が影響を受ける。

　残り7件のセキュリティ情報は、最大深刻度が2番目に高い“重要”。

　内容は、SharePoint Serverにおける特権の昇格の脆弱性に関する「MS15-036」、Windowsタスクスケジューラにおける特権の昇格の脆弱性に関する「MS15-037」、Windowsにおける特権の昇格の脆弱性（NtCreateTransactionManagerの種類の混同の脆弱性、Windows MS-DOSのデバイス名の脆弱性）に関する「MS15-038」、XMLコアサービスにおけるセキュリティ機能のバイパスの脆弱性に関する「MS15-039」、Active Directoryフェデレーションサービスにおける情報の漏えいの脆弱性に関する「MS15-040」、.NET Frameworkにおける情報の漏えいの脆弱性に関する「MS15-041」、Windows Hyper-Vにおけるサービス拒否の脆弱性に関する「MS15-042」。