今回修正された脆弱性のうち2件は事前に情報が公開され、1件については既に攻撃が発生している。
米Microsoftは11月13日(日本時間14日)、11月の月例セキュリティ更新プログラムを公開し、Internet Explorer(IE)やEdge、Windowsなどの脆弱性を修正した。
Microsoftによると、更新プログラムの対象となるのは、IEとEdge、Windowsのほか、Office/Office Services/Web Apps、ChakraCore、.NET Core、Skype for Business、Azure App Service on Azure Stack、Team Foundation Server、Dynamics 365(オンプレミス)バージョン8、PowerShell Core、Microsoft.PowerShell.Archive 1.2.2.0の各ソフトウェア。
米セキュリティ機関SANS Internet Storm Centerによれば、今回修正された脆弱性のうち2件は、事前に情報が公開されていた。
このうちBitlockerのセキュリティ機能が迂回される問題は11月上旬に発覚し、Microsoftがセキュリティ情報を公開して対策を紹介していた。もう1件の、Windows ALPCに関する権限昇格の脆弱性は、Twitterを通じて情報が出回っていたという。
さらに、Win32kの権限昇格問題については、既に脆弱性を突く攻撃の発生が確認されている。
いずれも最大深刻度はMicrosoftの4段階評価で上から2番目の「重要」に分類されている。
一方、深刻度が最も高い「緊急」に指定されている脆弱性は12件。特にChakraスクリプティングエンジンには、緊急度の高い脆弱性が多数存在している。
Copyright © ITmedia, Inc. All Rights Reserved.