ニュース
» 2013年11月13日 07時11分 UPDATE

Microsoftが月例セキュリティ情報を公開、直前発覚の脆弱性も修正

セキュリティ情報8件のうち「緊急」は3件。「水飲み場型攻撃」に使われた脆弱性が修正される一方、もう1件の脆弱性は未解決のままとなっている。

[鈴木聖子,ITmedia]

 米Microsoftは11月12日(日本時間13日)、予告通りに8件の月例セキュリティ情報を公開し、Internet Explorer(IE)やOfficeなどに存在する計19件の脆弱性に対処した。直前に発覚し、Webサイトに不正なコードを仕込む「水飲み場型攻撃」に利用されていた脆弱性を修正する更新プログラムも含まれる。

 一方、11月5日のアドバイザリーで明らかにしたグラフィックスコンポーネントの脆弱性については、今回の月例セキュリティ情報での対処が間に合わず、未解決のままとなっている。

 月例セキュリティ情報8件のうち、深刻度が最も高い「緊急」レベルは3件あり、いずれもMicrosoftが最優先で適用を勧告している。水飲み場型攻撃に利用されていたのは、ActiveX Kill Bitの累積的なセキュリティ更新プログラム(MS13-090)で対処した脆弱性。IEのActiveXコントロールに脆弱性があり、クライアント版の全Windowsが特に深刻な影響を受ける。

 セキュリティ企業のFireEyeは11月8日のブログで、この脆弱性を突くコードが各国の安全保障政策を専門とする米国のWebサイトに仕掛けられ、閲覧したユーザーがマルウェアに感染する恐れがあると伝えていた。

 一方、IEの累積的なセキュリティ更新プログラム(MS13-088)では10件の脆弱性を修正した。正式リリースされたばかりのIE 11も含め、クライアント版IEの全バージョンが極めて深刻な影響を受ける。こちらは現時点で攻撃の発生は確認されていないという。

 また、Windows Graphics Device Interfaceの脆弱性(MS13-089)は、クライアント版、サーバ版とも全バージョンのWindowsが極めて深刻な影響を受ける。細工を施したWindows Writeファイルをワードパッドで開いた場合、リモートでコードを実行される恐れがある。

 残る5件のセキュリティ情報は、いずれも深刻度が上から2番目の「重要」レベル。WordPerfectファイルを使って悪用される恐れのあるOfficeの脆弱性のほか、Hyper-V、Windows Ancillary Functionドライバ、Outlook、デジタル署名に存在する脆弱性をそれぞれ修正した。

 なお、Microsoftは同日、脆弱性の修正とは別に、証明書と暗号に関する2件のセキュリティ情報も併せて公開した。このうち1件は、旧式のRC4ストリーム暗号の無効化について解説。もう1件ではSSLおよびコード署名証明書におけるSHA1アルゴリズムの段階的廃止について解説している。SHA1はSHA2への切り替えを促し、2016年1月以降に発行されるのはSHA2証明書のみとなる。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -