ニュース
» 2018年09月12日 09時45分 公開

未解決の脆弱性に関する情報も公開:Microsoft、9月の月例セキュリティ更新プログラム公開 計61件の脆弱性を修正

深刻度が「緊急」の脆弱性は18件。悪用される危険性が大きく、事前に情報が公開されていた脆弱性も複数ある。

[鈴木聖子,ITmedia]

 米Microsoftは9月12日(日本時間13日)、9月の月例セキュリティ更新プログラムを公開し、Internet Explorer(IE)やEdge、Windowsなどの深刻な脆弱性に対処した。8月下旬に発覚したWindowsタスクスケジューラの脆弱性も修正されている。

 Microsoftによると、9月の月例セキュリティ更新プログラムの対象となるのは、IEとEdge、Windows、Office/Office Services/Web Apps、ChakraCore、.NET Framework、Microsoft.Data.OData、ASP.NETの各製品。

 このうちWindowsタスクスケジューラ「Advanced Local Procedure Call(ALPC)」に存在する権限昇格の脆弱性(最大深刻度:重要)については、8月下旬に悪用コードが公開され、この問題を突くマルウェアの出現も報告されていた

photo 今回修正された61件の脆弱性の一部(出典:SANS Internet Storm Center)

 米セキュリティ機関SANS Internet Storm Centerによると、今回の月例セキュリティ更新プログラムでは、計61件の脆弱性が修正されている。このうち深刻度が4段階で最も高い「緊急」に指定されているのは18件。中でもIEにおけるメモリ破損の脆弱性などは、悪用される危険性が大きいとされる。

 特に、Windowsのリモートコード実行の脆弱性(CVE-2018-8475)や、スクリプティングエンジンのメモリ破損の脆弱性(CVE-2018-8457)については、事前に情報が出回っていたという。

 月例セキュリティ更新プログラムには、Microsoft製品のほか、Adobeが同日公開したFlash Playerのセキュリティアップデートも含まれる。

 これとは別に、「FragmentSmack」と呼ばれる未解決の脆弱性(CVE-2018-5391)に関するアドバイザリーも公開された。Windowsでこの問題を悪用された場合、サービス妨害(DoS)攻撃を仕掛けられ、CPUが100%消費されてシステムが反応しなくなる恐れがある。

 Microsoftは現在、この脆弱性を解決する更新プログラムの開発を進めているという。アドバイザリーでは当面の対策も紹介している。

Copyright © ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -