HOME情報セキュリティ更新:Microsoft 製品の脆弱性対策について(2015年4月)

本文を印刷する

情報セキュリティ

更新:Microsoft 製品の脆弱性対策について(2015年4月)

最終更新日:2015年4月17日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

2015 年 4 月 15 日(日本時間)に Microsoft 製品に関する脆弱性の修正プログラムが 11 件公表されています。
これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性があります。

なお、この内 MS15-033 の脆弱性について、Microsoft 社は「限定的な攻撃を確認しました」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラムを適用して下さい。

MS15-034 の脆弱性(CVE-2015-1635)について

4/16 16:00 更新
MS15-034 の脆弱性(CVE-2015-1635)を悪用する攻撃コードがインターネット上に公開されています。
IIS が稼動する Windows に対して、当該脆弱性を悪用した攻撃が行われる可能性が高い状況ですので、当該脆弱性に未対応の方は、大至急、修正プログラムを適用してください。

IPA による検証の結果、IIS7 がインストールされている当該脆弱性に未対応の Windows Server 2008 R2 に対して攻撃コードにより OS が停止することを確認しました。

4/17 12:00 更新
修正プログラムの適用まで時間を要する場合は、以下の回避策をご検討ください。

  • IIS カーネルキャッシュを無効にする

Microsoft 社によると、「この回避策は、IIS 専用であり、パフォーマンスの問題を発生させる可能性」があるとしています。
詳細は MS15-034 をご確認ください。


<追加情報>

以下の企業がインターネットからの攻撃を確認したと発表しています。

以下の企業が日本語で脆弱性検証レポートを公開しています。

対策

1.脆弱性の解消 - 修正プログラムの適用

Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

更新履歴

2015年04月17日
12:00
MS15-034 の脆弱性(CVE-2015-1635)について:追記
2015年04月16日
16:00
MS15-034 の脆弱性(CVE-2015-1635)について:追記
2015年04月15日 掲載