Windows全バージョン対象の緊急セキュリティ更新プログラムが公開

日本マイクロソフトは7月21日(日本時間)、Windowsの全バージョンを対象とした緊急セキュリティ更新プログラムを公開した。このプログラムは、OpenType フォント ドライバーの脆弱性「CVE-2015-2426」を解消するもの。

Windows Adobe Type Manager Libraryが特別な細工がされたOpenType フォントを不適切に処理した場合、Windowsにリモートでコードが実行される脆弱性が発生し、この脆弱性が悪用されると、コンピュータが完全に制御されるおそれがある。

攻撃者がこの脆弱性を悪用する方法として、「特別な細工がされた文書を開かせる」「埋め込まれたOpenTypeフォントを含む信頼されていないWeb ページに訪問させる」といったことが考えられるという。

同社は、このセキュリティ情報が最初に公開された際、この脆弱性が一般に公表されたことを確認していたが、攻撃に関する情報は受け取っていなかったが、解析により、悪用コードが作成されて攻撃者が安定的に脆弱性を悪用する可能性があると評価している。

同社は、ユーザーの状況次第で役立つ回避策としていくつか紹介している。