Microsoftが月例セキュリティ情報を公開、直前発覚の脆弱性も修正

セキュリティ情報8件のうち「緊急」は3件。「水飲み場型攻撃」に使われた脆弱性が修正される一方、もう1件の脆弱性は未解決のままとなっている。

[鈴木聖子，ITmedia]

　米Microsoftは11月12日（日本時間13日）、予告通りに8件の月例セキュリティ情報を公開し、Internet Explorer（IE）やOfficeなどに存在する計19件の脆弱性に対処した。直前に発覚し、Webサイトに不正なコードを仕込む「水飲み場型攻撃」に利用されていた脆弱性を修正する更新プログラムも含まれる。

　一方、11月5日のアドバイザリーで明らかにしたグラフィックスコンポーネントの脆弱性については、今回の月例セキュリティ情報での対処が間に合わず、未解決のままとなっている。

　月例セキュリティ情報8件のうち、深刻度が最も高い「緊急」レベルは3件あり、いずれもMicrosoftが最優先で適用を勧告している。水飲み場型攻撃に利用されていたのは、ActiveX Kill Bitの累積的なセキュリティ更新プログラム（MS13-090）で対処した脆弱性。IEのActiveXコントロールに脆弱性があり、クライアント版の全Windowsが特に深刻な影響を受ける。

　セキュリティ企業のFireEyeは11月8日のブログで、この脆弱性を突くコードが各国の安全保障政策を専門とする米国のWebサイトに仕掛けられ、閲覧したユーザーがマルウェアに感染する恐れがあると伝えていた。

　一方、IEの累積的なセキュリティ更新プログラム（MS13-088）では10件の脆弱性を修正した。正式リリースされたばかりのIE 11も含め、クライアント版IEの全バージョンが極めて深刻な影響を受ける。こちらは現時点で攻撃の発生は確認されていないという。

　また、Windows Graphics Device Interfaceの脆弱性（MS13-089）は、クライアント版、サーバ版とも全バージョンのWindowsが極めて深刻な影響を受ける。細工を施したWindows Writeファイルをワードパッドで開いた場合、リモートでコードを実行される恐れがある。

　残る5件のセキュリティ情報は、いずれも深刻度が上から2番目の「重要」レベル。WordPerfectファイルを使って悪用される恐れのあるOfficeの脆弱性のほか、Hyper-V、Windows Ancillary Functionドライバ、Outlook、デジタル署名に存在する脆弱性をそれぞれ修正した。

　なお、Microsoftは同日、脆弱性の修正とは別に、証明書と暗号に関する2件のセキュリティ情報も併せて公開した。このうち1件は、旧式のRC4ストリーム暗号の無効化について解説。もう1件ではSSLおよびコード署名証明書におけるSHA1アルゴリズムの段階的廃止について解説している。SHA1はSHA2への切り替えを促し、2016年1月以降に発行されるのはSHA2証明書のみとなる。