Microsoft、12件の月例セキュリティ情報を公開 うち8件は「緊急」

最大深刻度は12件のうち8件が「緊急」。Officeなどの脆弱性では悪用の事実も確認されている。

» 2015年12月09日 07時24分 公開
[鈴木聖子ITmedia]
緊急レベルの脆弱性が目立つ2015年12月の月例パッチ

 米Microsoftは12月8日(日本時間9日)、12件の月例セキュリティ情報を公開してWindowsやInternet Explorer(IE)、Edgeなどの深刻な脆弱性に対処した。最大深刻度は12件のうち8件について最も高い「緊急」に指定している。

 緊急レベルの8件のうち、IEの累積的なセキュリティ更新プログラム(MS15-124)とEdgeの累積的なセキュリティ更新プログラム(MS15-125)はそれぞれ、攻撃者が細工を施したWebページを表示させる手口を使ってリモートでコードを実行できてしまう恐れがある。IE、Edgeとも、サポート対象の全バージョンが影響を受ける。

 JScriptとVBScriptの脆弱性(MS15-126)は、Windows Vista、Windows Server 2008、およびWindows Server 2008 R2のServer Coreインストールオプションが影響を受ける。攻撃者がホスティングするWebサイトや、改ざんしたWebサイトなどを通じて悪用される可能性がある。

 Windows DNSの脆弱性(MS15-127)はWindows Server 2008/R2、Windows Server 2012/R2およびServer Coreインストール オプションに存在する。細工を施したリクエストをDNSサーバに送りつけることによって悪用が可能とされ、米セキュリティ機関のSANS Internet Storm Centerでは「パブリックインターネットに露呈しているMicrosoft DNSサーバを使っている場合は特に深刻」と指摘して、パッチ適用を急ぐよう促している。

 Microsoft Graphicsコンポーネントの脆弱性を修正するセキュリティ更新プログラム(MS15-128)ではWindows、.NET Framework、Microsoft Office、Skype for Business、Microsoft Lync、Silverlightの脆弱性を修正。これとは別に、Silverlight用のセキュリティ更新プログラム(MS15-129)、Microsoft Uniscribe用のセキュリティ更新プログラム(MS15-130)も公開された。

 Office向けのセキュリティ更新プログラム(MS15-131)で修正された脆弱性のうちの1件は、悪用の事実が確認されているという。脆弱性はOffice 2007/2010/2013/2016/2013 RT、Office for Mac 2011/2016、Office 互換機能パック、Excel Viewerが影響を受ける。

Officeの脆弱性は悪用が起きている

 残る4件のセキュリティ情報については、最大深刻度は上から2番目の「重要」に分類されている。Windowsのリモートコード実行の脆弱性(MS15-132)、Windows PGMの特権昇格の脆弱性(MS15-133)、Windows Media Centerのリモートコード実行の脆弱性(MS15-134)、Windowsカーネルモードドライバの特権昇格の脆弱性(MS15-135)をそれぞれ修正した。

 MS15-135の更新プログラムで修正した脆弱性のうち1件は、悪用の事実が確認されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ