Microsoft、13件の月例セキュリティ情報を公開

緊急レベルの4件のうち、Outlook、IE、SharePoint Serverの脆弱性に対処する更新プログラムは最優先で適用を勧告している。

» 2013年09月11日 07時26分 公開
[鈴木聖子,ITmedia]

 米Microsoftは9月10日、13件の月例セキュリティ情報を公開し、OutlookやInternet Explorer(IE)などに存在する計47件の脆弱性に対処した。5日の事前通知では14件の公開を予告していたが、.NET Frameworkの脆弱性に対処する重要レベルの更新プログラム公開は見送られたもようだ。

 13件のセキュリティ情報の内訳は、Microsoftの4段階評価で深刻度が最も高い「緊急」レベルが4件と、上から2番目の「重要」レベルが9件。緊急レベルの中でも、Outlookの更新プログラム(MS13-068)など3件については最優先で適用を勧告している。

 Outlookの脆弱性は、Outlook 2007/2010の全エディションが極めて深刻な影響を受ける。悪用された場合、細工を施したS/MIME証明書入りの電子メールをユーザーが開いたりプレビューしたりすると、リモートでコードを実行される恐れがある。脆弱性は非公開で報告され、現時点で攻撃の発生は確認されていないという。

 また、IEの累積的な更新プログラム(MS13-069)では、IEの全バージョンに存在する10件の脆弱性に対処した。全てメモリ内オブジェクトへの不適切なアクセスに起因する脆弱性で、Windows 8とIE 10の組み合わせを含むクライアント版の全IEが極めて深刻な影響を受ける。この問題を突いて細工を施したWebサイトを閲覧した場合、攻撃者に任意のコードを実行される恐れがある。

 SharePoint Serverの更新プログラム(MS13-067)も優先的な対応が必要だ。10件の脆弱性に対処しており、そのうちの1件が緊急レベル。攻撃者が細工を施したパケットを送り付け、W3WPサービスアカウントの権限でリモートからコードを実行できてしまう恐れがある。特にSharePoint Server 2003/2007/2010は深刻な影響を受ける。なお、重要レベルの脆弱性のうち1件は事前に情報が公開されていたが、現時点で攻撃の発生は確認されていないという。

月例パッチの適用優先度

 もう1件の緊急レベルのセキュリティ情報は、WindowsのOLEオブジェクト処理に関する脆弱性に対処するもので、Windows XPとWindows Server 2003が影響を受ける。

 残る9件のセキュリティ情報はいずれも重要レベルと評価されている。Officeで13件の脆弱性が修正されたほか、Windowsテーマファイル、Excel、Access、Office IME (中国語版) 、カーネルモードドライバ、Windowsサービスコントロールマネージャ、FrontPage、Active Directoryの脆弱性がそれぞれ修正された。

 また、Adobe SystemsがFlash Playerの脆弱性を修正したことを受け、IE 10の更新版(Windows 8、Windows Server 2012、Windows RT向け)と、IE 11プレビュー版の更新版(Windows 8.1プレビュー版、Windows RT 8.1プレビュー版向け)も公開している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ