誰が想像したでしょうか? 2月のセキュリティパッチを延期した直後、MicrosoftはAdobe Flash Playerの重大な脆弱性に対処する修正プログラムをリリースしました。
マイクロソフトはセキュリティ情報の中で、脆弱性がどのように悪用される可能性があるかを次のように説明した。
ユーザーがデスクトップに Internet Explorer を使用している Web ベースの攻撃シナリオでは、攻撃者は Internet Explorer を介してこれらの脆弱性のいずれかを悪用することを目的として特別に細工した Web サイトをホストし、ユーザーにその Web サイトを表示するよう誘導する可能性があります。また、攻撃者は、IE レンダリング エンジンをホストするアプリケーションまたは Microsoft Office ドキュメントに「初期化しても安全」とマークされた ActiveX コントロールを埋め込む可能性もあります。攻撃者は、侵害された Web サイトや、ユーザーが提供したコンテンツや広告を受け入れる、またはホストする Web サイトを利用する可能性もあります。これらの Web サイトには、これらの脆弱性のいずれかを悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。しかし、すべての場合において、攻撃者はユーザーに攻撃者が制御するコンテンツを強制的に表示させることはできません。その代わり、攻撃者はユーザーに操作を行わせる必要があります。具体的には、電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせ、攻撃者の Web サイトへユーザーを誘導します。または、電子メールで送信された添付ファイルを開かせます。
Windows 8スタイルのユーザーインターフェースの脆弱性を悪用するのは少し複雑です。Microsoftによると、攻撃者はまず互換表示リストに掲載されているサイトに侵入する必要があるとのことです。それ以外のユーザーは、ブラウザやMicrosoft OfficeでFlash Playerを無効化したり、同じアプリ内でActiveXコントロールを制限したりするなど、様々な回避策を用いてセキュリティ上の欠陥から身を守ることができます。Microsoftは、すべての回避策についてウェブサイトで手順を公開しています。
このパッチは少々意外なものでした。マイクロソフトは今月初め、2月のセキュリティパッチをすべて3月にリリースすると発表していました。同社は遅延について詳細な情報を提供しておらず、「一部のお客様に影響を与える可能性のある問題が土壇場で発見され、本日予定されていたアップデートまでに解決されなかった」とだけ述べています。同社は、この1つのアップデートを待つのではなく、すべてのアップデートを延期することを決定しました。
しかし今、GoogleがProject Zeroプラットフォームを通じてWindowsの他の部分にセキュリティ上の欠陥を明らかにしているにもかかわらず、Microsoftはこの重大な脆弱性に対するパッチをリリースしました。Microsoftで何が起こっているのかは不明です。同社は多くのアップデートを延期し、脆弱性を90日以上放置した後、Flashの問題に対するパッチを突然リリースしました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
いずれにしても、パッチは Windows Update 経由でダウンロードできます。Windows Update では、セキュリティ修正プログラムが有効になっている場合は自動的にダウンロードされます。または、Microsoft Update カタログからもダウンロードできます。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
