マイクロソフトが3月の月例パッチをリリース--「FREAK」の脆弱性も修正

　Microsoftがリリースした2015年3月の月例パッチは、全部で14件と最近ではかなり大型のものになった。そのうち2件を除いて、残りはWindowsに対するアップデートだ。

　14件のうち5件（Windowsが4件、Officeが1件）が「緊急」にレーティングされている。残りの9件は「重要」にレーティングされており、そのうち1件が「Exchange Server」に対するもので、残りはWindowsに対するアップデートだ。

　これらのうち2件は、すでに情報が公開されている脆弱性に対する修正となる。今回は、GoogleのProject Zeroで情報が公開されているすべての不具合に対処した。

　今回の大型パッチのうち、緊急の5件は以下の通りだ。

　MS15-018は、サポート対象のすべての「Internet Explorer」に存在する、12件の脆弱性を修正する累積セキュリティパッチだ。これには、2月の月例パッチよりも前に一般に情報が開示されたが、前回の月例パッチでは修正されなかった、クロスサイトスクリプティングの脆弱性に対する修正も含まれている。また、やはり一般に情報が開示されている、別のメモリ破壊の脆弱性に対する修正も含まれている。

　MS15-019は一部の古いWindowsに存在するスクリプトエンジンの脆弱性を修正するもので、Windows 7以降のデスクトップ版WindowsまたはWindows Server 2012以降のサーバ版Windowsには影響はない。

　MS15-020は、Microsoft Text Servicesのメモリ内オブジェクトの処理方法と、Microsoft WindowsのDLLファイルの読み込み処理方法に存在する問題を修正している。また、MS15-021はAdobeフォントドライバに関する問題を修正するものだ。この2つはどちらも、理論上はリモートでコードを実行される可能性があるが、Microsoftのサマリによればその可能性は低いという。

　MS15-022はサポート対象のすべての「Microsoft Office」（2007、2010、2013）に加え、サーバー版のOffice Web Appsと「SherePoint Server」製品にも適用されるものだ。Office文書のフォーマットに存在する既知の3件の脆弱性と、SharePoint Serverが抱える複数のクロスサイトスクリプティングの脆弱性を修正している。最悪のケースでは、リモートでコードを実行される可能性がある。

　残り9件のうち8件はWindowsに関するもので、1件はExchange Serverに関するものだ。

　1件のアップデートは、ローカルユーザーがACLチェックをバイパスし、特権を付与された実行ファイルが実行される可能性のあるWindowsタスクスケジューラの問題を解決する。リモートデスクトップ（RDP）が有効になっているシステムにのみ影響のある、サービス拒否を引き起こす問題を修正するものもある（すべてのバージョンのWindowsで、デフォルトではRDPはオフになっている）。

　また、MS15-031は、話題になった「FREAK」と呼ばれるSchannelの脆弱性を修正するものだ。このWindowsのアップデートによって、MicrosoftとAppleのプラットフォームは安全になったが、Android版の脆弱性はまだ修正されていない。