Microsoft、14件の月例セキュリティ情報を公開 「緊急」は6件

14件のうち6件が「緊急」の分類。Googleに情報を公開された脆弱性も含め、攻撃の発生が確認された複数の脆弱性にも対処している。

» 2016年11月09日 07時32分 公開
[鈴木聖子ITmedia]

 米Microsoftは11月8日、14件の月例セキュリティ情報を公開してWindowsやInternet Explorer(IE)、Edgeなどの深刻な脆弱性を修正した。Googleに情報を公開された脆弱性も含め、攻撃の発生が確認された複数の脆弱性にも対処している。

 セキュリティ情報14件のうち6件は、Microsoftの4段階評価で深刻度が最も高い「緊急」に分類されている。このうちEdgeとIEの累積的な更新プログラムでは、多数の深刻な脆弱性が修正された。悪用されれば細工を施したWebページを使ってリモートでコードを実行される可能性がある。

2016年11月のセキュリティ情報概要(マイクロソフトより)

 Edgeの更新プログラム(MS16-129)はWindows 10とWindows Server 2016に対応する。IEはIE 9(Windows Vista SP2とWindows Server 2008 SP2向け)、IE 10(Windows Server 2012向け)、IE 11(Windows 7 SP1〜Windows 10、Windows Server 2008 R2 SP1、Windows Server 2012 R2向け)の更新プログラム(MS16-130)がそれぞれ公開された。

 Windowsを対象とする「MS16-130」の更新プログムと、Microsoftビデオコントロール用のセキュリティ更新プログラム「MS16-131」、グラフィックスコンポーネント用のセキュリティ更新プログラム「MS16-132」の3件も緊急に指定されている。MS16-130とMS16-132は、サポート対象の全Windowsが深刻な影響を受ける。

 MS16-132で対処したOpen Type Fontのリモートコード実行の脆弱性は、既に攻撃の発生が確認されているという。

 さらにAdobe Flash Playerの脆弱性に対処する更新プログラム(MS16-141)も、Windows 8.1〜Windows 10などを対象として緊急指定で公開した。

 残る8件の深刻度は、いずれも上から2番目の「重要」に指定されているが、「MS16-135」で対処したWindowsカーネルモードドライバの脆弱性は、Adobe Flashの脆弱性と組み合わせてWin32kの特権昇格の脆弱性を突くスピアフィッシング攻撃が起きているという。この脆弱性についてはGoogleの研究者が発見し、Microsoftよりも前に情報を公開していた

 この他の更新プログラムではそれぞれOffice、共通ログファイルシステムドライバ、SQL Server、Windows認証方式、Microsoft仮想ハードディスクドライバ、Windowsカーネル、ブートマネージャの脆弱性を修正している。

Windows 10のセキュリティアップデート

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ