Microsoftが月例セキュリティ情報を公開、既に攻撃発生の脆弱性も

6件のセキュリティ情報のうち4件が「緊急」レベル。中でも1件については、脆弱性を突いた「限定的な標的型攻撃」が確認されているという。

　米Microsoftは4月10日（日本時間11日）、予告通りに6件のセキュリティ情報を公開し、Internet Explorer（IE）やWindows、Officeなどに存在する合計11件の脆弱性に対処した。既に攻撃に利用されている脆弱性もあり、早期の更新プログラム適用を呼び掛けている。

　6件のセキュリティ情報のうち、Microsoftの4段階評価で深刻度が最も高い「緊急」レベルは4件ある。中でもWindowsコモンコントロールの脆弱性に対処する更新プログラム（MS12-027）とIEの累積的な更新プログラム（MS12-023）については、最優先で適用を促している。

　Windowsコモンコントロールの脆弱性は、不正なコンテンツを仕込んだWebサイトを使って悪用される恐れがあり、ユーザーがこうした不正サイトを見ると任意のコードを実行される恐れがある。影響を受けるのは、Office、SQL Server、サーバソフトのBizTalk ServerとCommerce Server、開発者用ツールのVisual FoxProとVisual Basic。既にこの脆弱性を突いた「限定的な標的型攻撃」が確認されているという。

　一方、IEの更新プログラム（MS12-023）では5件の脆弱性に対処した。Windowsクライアント上ではIE 6〜9までの全バージョンが深刻な影響を受け、脆弱性を悪用された場合、リモートでコードを実行されたり、攻撃者にユーザーと同じ権限を取得されたりする恐れがある。

　このほかに、Windowsのポータブル実行可能（PE）ファイルの検証に関する脆弱性（MS12-024）と、.NET Frameworkの脆弱性（MS12-025）の2件も緊急レベルとなっている。いずれも悪用可能性指標は最も高い「1」と評価され、安定した悪用コード出現の可能性が指摘されている。

　残る2件のセキュリティ情報はいずれも深刻度が上から2番目の「重要」レベル。OfficeおよびWorksの脆弱性（MS12-028）では、細工を施したWorksファイルをユーザーが開くと任意のコードを実行される恐れがある。Forefront Unified Access Gateway（UAG）の脆弱性（MS12-026）は情報流出を引き起こす恐れがある。