http://www.computerworld.jp/topics/563/206708

 米国Microsoftは3月12日(現地時間)、合計20件の脆弱性を修正する月例セキュリティ更新プログラム7件を
公開した。これらのプログラムの1件(セキュリティ情報ID:MS13-027)は、USBメモリと攻撃コードを使ってコン
ピュータのセキュリティを破ることを許してしまうWindows USB記述子の脆弱性3件を修正する。

 今回の月例セキュリティ更新プログラムの件数と、それらによって修正される脆弱性の件数は、2月のそれぞ
れ12件、57件よりもかなり少ない。今回のセキュリティ更新プログラム7件の最大深刻度は、4件が「緊急」、3件
が「重要」とされている。Microsoftの深刻度評価システムでは、脆弱性の深刻度が4段階で評価されており、こ
れらの中で「緊急」は深刻度が最も高く、「重要」は2番目に高い。

 これら7件のプログラムで修正される20件の脆弱性のうち9件は、Internet Explorer(IE)に含まれる。残りの11
件は、Silverlight、Visio Viewer、SharePoint ServerおよびSharePoint Foundation、OneNote、Outlook for Mac、
Windowsの脆弱性だ。

 米国nCircleのセキュリティ・オペレーション・ディレクター、アンドルー・ストームズ(Andrew Storms)氏は声明
で、「MS13-027は企業のIT管理者がチェックすべき修正プログラムだ」とアドバイスした。

 「MS13-027」(カーネルモードドライバーの脆弱性により、特権の昇格が起こる)で修正される脆弱性は、攻撃
者がシステムにアクセスした場合、特権の昇格を引き起こす可能性がある。コンピュータの自動再生が無効に
なっていても、攻撃者がUSBメモリを使って管理権限を取得するおそれがある。

 「この攻撃の手口は何年も前から映画に登場しているが、この脆弱性のせいで、世界中の企業が実際にその
脅威にさらされている」とストームズ氏は述べている。「この脆弱性の危険性は、いくら強調してもしすぎることは
ない」

 また、「MS13-027」で修正される3件の脆弱性の深刻度は、いずれも「緊急」ではなく「重要」とされているが、
これらの悪用によって重大な問題が起こる可能性もある。企業の建物に入れる人が就業時間外にこの脆弱性
を悪用し、業務用PCからデータを盗み出すおそれがあるからだ。不特定多数が利用するパブリック・キオスク
などのコンピュータも危険だと、ストームズ氏は指摘した。

 ID管理ソフトウェア・ベンダーの米国BeyondTrustのCTO(最高技術責任者)、マーク・マイフレット(Marc Maiffret)
氏は、次のように説明している。「これらの脆弱性は、攻撃者がカーネル・コードを実行する目的で悪用するおそ
れがあるが、そのためには物理的にコンピュータの設置場所に赴き、USBデバイスを脆弱なマシンに挿入できな
ければならない」

 マイフレット氏はIT管理者に、「MS13-021」(Internet Explorer用の累積的なセキュリティ更新プログラム)で修正
されるIEの9件の脆弱性も要注意だとアドバイスする。最大深刻度が「緊急」であるこれらの脆弱性は、サポートさ
れているIEのすべてのバージョン(6〜10)に影響する。「これは、Windows RTを含め、サポートされているすべて
のWindowsプラットフォームが、攻撃の標的になりうるということだ」(同氏)